信息打点APP篇--APP发现,抓包,静态分析,动态分析

于 2024-07-15 20:39:21 发布
阅读量493 收藏 18
点赞数 10
分类专栏: # 信息打点 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79590880/article/details/140403547
版权

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

本文主要整理APP的相关资产打点思路

部分比如安装证书等操作不在这里演示了

APP资产发现

给定公司名称查找APP资产

爱企查、小蓝本企业知识产权查询

https://www.xiaolanben.com/

https://aiqicha.baidu.com/

一下为小蓝本查询结果,里面有APP的资产

七麦数据,点点查查询

https://www.qimai.cn/

https://app.diandian.com/

以下是点点数据查百度的案例演示

给定网站URL查找对应APP

网页中带有APP下载按键

有些网页中有带有对应APP的下载按键,这种的比较简单,直接下载就可以了。

没有下载按键查APP

先通过备案查询,查找网站的备案公司。

再利用上述给定公司查找APP的方式进行查找。

APP信息收集

抓包分析

简介:类似于web的那种抓包,能够获取参数,APP对应的URL等信息。

优点:无误报,信息准确。

缺点:受到证书校验,代理检测等干扰。收集不全面,除非自己每个界面,全都点一遍。

源码反编译分析

简介:反编译APP源码,从源码中获取URL地址等信息。

优点:信息很全面,而且很省时省力。

缺点:误报频繁,仅限于源码中存在的URL,有些只有抓包,动态调试才能看得到。

抓包分析

如果想用burp或者yakit抓模拟器的包,需要先安装好证书。这个不在这里赘述了。

就是从抓包信息中,找相关信息,也可以尝试测试逻辑漏洞。

抓包主要是去查看数据包中是否有ip地址网址等信息。

反编译静态分析

mobsf静态分析

在mobsf下进行反编译静态分析。

(2024.7.15,windows版本的mobsf有点小问题,装完之后无法正常启动。不知道为啥)

可以安装在linux服务器上,或者是本地虚拟机上。

但是最好是本地windows版本。

一来是本地游戏本电脑比我们单纯一个2核2g这样烂配置的服务器流程。

二来是只有本地才能使用动态调试功能。

所以我用的是APP渗透整合的虚拟机中的mobsf。

在这里上传我们要分析的APP即可。

分析完成后直接看报告就行了。

里面有代码中相关的URL地址,危险权限之类的东西。

Appinfoscanner静态分析

https://github.com/kelvinBen/AppInfoScanner

在appinfoscanner文件夹中打开命令行执行命令分析对应文件夹即可。

把apk放到他的文件夹下。(这里是我单独给他创建了一个文件夹)

app.py android -i apks/xiaodi8.apk

 分析完生成结果:

 

动态调试

(这个确实也是信息收集的一种方式)

但是得本地windows安装mobsf。

我这个时候他会报错导致运行失败。

我自己帮他大改代码,修复了他好几个因为python旧版本淘汰的库而引发的问题,但是依据提示某个模块无法导入。实在是搞不好这个东西了所以没有整理。

就是mobsf静态分析旁边有个动态调试,点开翻译着自己搞一搞试试吧。

北岭敲键盘的荒漠猫
关注
  • 10
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
uni-app-echarts+PC+移动端中国地图下钻+标点+统计+放大缩小.rar
10-21
这个项目展示了如何使用uni-app和ECharts构建一个跨平台的可视化应用,其中包含了中国地图的下钻功能、地图上的标点展示、数据统计以及地图的缩放操作,这些特性结合在一起,为用户提供了一种交互性强、信息丰富的...
动态分析 Android 程序—动态分析框架/工具
Andy0214的专栏
12-24 7794
- 动态分析分为动态跟踪和动态调试; - 动态跟踪侧重于自动化分析,工具一般是自主研发或第三方提供的分析平台。在软件开发领域编写大型项目安全检测分析报告,以及在软件安全领域进行恶意代码与病毒的分析时,会广泛用到动态分析技术; - 动态调试需要分析人员参与进来,依靠调试器的能力完成分析工作。在进行动态调试时,除了调试器,还要分析人员自主确定分析点; - 开发软件时,一般可进行源码级调试,对设置断点的地方可通过阅读源码找到。逆向分析时,通常只能进行反汇编级别的调试,分析人员要通过阅读大量的反汇编代码来寻找
APP动态分析-AndroidStudio调试+IDA 我来了
samli的博客
12-20 2729
历史文章了,补发上来 0x00 前言 动态分析(dynamic analysis)是指在严格控制的环境(沙盒)中执行恶意软件,并使用系统检测实用工具记录其所有行为 静态分析(static analysis)通过浏览程序代码来理解程序的行为。 关于动静态分析,两者目的是相同的,无非是破解软件,分析软件行为,但是动态分析会比静态高效一点, 由于对静态分析比较熟悉,先说一下静态分析的思路。 确认目的 你是要破解APP,为了获取什么: 绕过完整性检查; 绕过调试检查;...
app打点测试
至尊玉的个人笔记
03-29 9225
app需要打点记录,都是记在服务端的log文件里,即使用linux命令 可以实时查到是否有关键字的出现,但是不方便,用python优化下。 主要是 基于 tail 命令的。#coding=UTF-8 #!/usr/bin/python import time import subprocess import re import os filedir = '/data/work/log/logs/
Android 打点方式总结
haizishiwo的专栏
06-18 1万+
打点的痛点打点是由用户操作,引起视图变化,在记录视图变化时的业务数据信息,以供产品、运维分析。所以打点既包括视图逻辑,也包括业务逻辑,这是蛋疼的地方。我们在开发的时候,一直致力于业务逻辑和视图逻辑要分离,而打点非要将他们糅合在一起……
三个常用的apk分析网站对比:VirusTotal、哈勃、摸瓜
热门推荐
u014448985的博客
02-27 1万+
VirusTotal、哈勃、摸瓜是笔者目前常用的三个在线分析apk的网站。对三个网站只是简单的测试,并做了记录,有部分主观意见。目前市面上对apk的分析工具也较多,但能做到高度自动化的不多。近年来,有很多厂商为防止自己的apk被逆向分析,也做了很多加壳加固的工作,单纯的apk静态分析存在分析不全面的问题。因此,安全研究者在分析apk时,仍需配合动态调试、抓包等,才能完整分析一个apk文件。
红队渗透打点工具-FindUpload
03-07
5. **结果分析与报告**:FindUpload会整理扫描结果,提供清晰的报告,包括每个目标站点的上传点和登录框信息,以及可能存在的安全风险。这为后续的渗透测试策略制定提供了依据。 6. **安全操作与合规性**:作为一款...
浅析语音播报APP的优势和不足——以喜马拉雅为例.pdf
08-26
【摘要】:本文主要探讨了语音播报APP,特别是以喜马拉雅为例,分析了这类应用的优势和不足。近年来,随着互联网的发展,语音播报APP因其便捷性和丰富内容深受用户喜爱,形成了以喜马拉雅、蜻蜓FM和荔枝为主的市场...
行业分类-设备装置-一种笔头打点机.zip
09-10
《一种笔头打点机》 在IT行业中,尽管我们经常与数字世界打交道,但实体设备和装置的设计与制造仍然是非常关键的一部分。本主题聚焦于一种特定的机械设备——笔头打点机,它在制造业中有着广泛的应用。这种设备主要...
易语言-静态打点调试工具-发条陈
03-31
《易语言静态打点调试工具——打造高效日志输出与分析环境》 在软件开发过程中,调试是一项至关重要的任务,它能帮助我们发现并修复代码中的错误。在易语言编程环境中,开发者面临着如何在静态编译后有效地进行调试...
App竞品技术分析
10-21
### App竞品技术分析 #### 一、引言 随着移动互联网行业的快速发展,App作为连接企业和用户的桥梁,其用户体验和技术实现成为了竞争的核心要素之一。为了更好地理解市场趋势、提升自身产品的竞争力,进行App竞品...
攻防渗透快速打点辅助综合工具-ALLiN
03-07
一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具,由之前写的工具AG3改名而来。是一款轻便、小巧、快速、全面的扫描工具。多用于渗透前资产收集和渗透后内网横向渗透。工具从项目上迭代了一些懒人功能...
行业分类-设备装置-一种自动打点夹具及利用打点夹具进行打点的方法.zip
09-05
"一种自动打点夹具及利用打点夹具进行打点的方法"是这样的一个技术应用,它涉及到机械工程、自动化控制以及精密加工等多个领域。这个技术主要针对的是设备装置的精确定位和标记,尤其适用于生产线上的质量检测和过程...
app-release_1015_jiagu_sign.apk
05-20
航线规划 Android端基于高德地图 地图打点,画多边形,正射,植保
电子-TFTOK可触摸打点.rar
09-05
标题中的“电子-TFTOK可触摸打点.rar”暗示了这是一个关于电子技术的项目,具体是涉及TFT(Thin Film Transistor)液晶显示屏,并且具备触摸功能的打点实现。这个项目可能是一个基于STM32微控制器的开发,因为描述中...
动态分析Android App之动态调试
lilac的博客
08-24 1万+
动态分析Android App之动态调试 这个系列一共有五左右,内容主要介绍如何动态分析和调试Android App,和网上其他教程相比,内容更充实,体系更健全,深入而浅出。闻道有先后,术业有专攻,希望能给刚入门Android逆向的同侪们些微帮助。 出于各种原因,文章有两个遗憾,一是只包含了Java层代码的动态分析和调试,Jni和Native层并没有涉及;二是对Hook框架的介绍和使用不是很充分...
Android沙盘原理与实现
joy
02-01 1721
Android沙盘原理与实现 http://security.tencent.com/index.php/blog/msg/7 【作者】:riusksk(泉哥) 【团队】:腾讯安全应急响应中心 【微博】:http://t.qq.com/riusksk 【博客】:http://hi.baidu.com/riusksk 【日期】:2012年10月2日 一、前言
鸿蒙OS开发实例:【应用事件打点
最新发布
2301_76813281的博客
04-03 1097
HiAppEvent是在系统层面为应用开发者提供的一种事件打点机制,用于帮助应用记录在运行过程中发生的故障信息、统计信息安全信息、用户行为信息,以支撑开发者分析应用的运行情况。事件参数:用于指定事件的参数,每个事件可以包含一组参数,建议设置为事件属性或事件发生上下文信息,以便于描述事件的详细信息。点击IDE界面中的运行按钮,运行应用工程,然后在应用界面中点击按钮“writeTest”,触发一次按钮点击事件打点。事件名称:用于指定事件的名称,建议设置为具体的业务名称,以便于描述实际的业务意义。
uni-app地图打点
07-28
在uni-app中实现地图打点功能,你可以使用uni-app的原生API结合第三方地图插件来实现。以下是一种常见的实现方法: 1. 首先,在uni-app项目中安装并引入第三方地图插件,例如腾讯地图或百度地图。你可以通过uni-app...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北岭敲键盘的荒漠猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值