- 博客(17)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 apk加壳去壳
1.1原理(1)基础原理在整个加固过程中,我们会涉及到四个文件(其实最终要实现加固,需要涉及的文件不止四个,这里我们仅包含了主要文件):originalAPK.apk:APK 文件,也就是我们要加固的 APPshellDex.dex:dex 文件,该文件的程序功能是将 originalAPK.apk 的密文进行解密,并将 originalAPK.apk 中的 dex 文件进行加载,启动被加固的 APP。该 dex 文件来自于一个 APK 文件,我们称为 shellAPK.apk。注意,在
2021-06-18 19:59:43
1190
原创 通过流量分析,通过xposed hook#2
操作内容( 1 )PC 端在Chrome浏览器下自动抓包( 2 )移动端抓包1、通过各种方式查看自己本机的ip地址,例如ipconfig命令等2、设置代理:打开手机端的 WIFI 代理设置,输入电脑 IP 和 Charles 的代理端口。3、设置好之后,打开手机上的任意需要网络请求的程序,就可以看到 Charles 弹出手机请求连接的确认菜单(只有首次弹出),点击 Allow 即可完成设置。( 3 )PC 端 HTTPS 抓包可以发现上图抓包内容有 ,且存在乱码,这是因为 HTTPS
2021-06-15 19:09:39
436
原创 Charles#1
Charles基础知识Charles is an HTTP proxy / HTTP monitor / Reverse Proxy that enables a developer to view all of the HTTP and SSL / HTTPS traffic between their machine and the Internet. This includes requests, responses and the HTTP headers (which contain the
2021-06-13 13:52:51
677
原创 JNI, NDK, so, IDA
JNI, NDK, so, IDA实验准备在settings-System Settings-Android SDK-SDK Tools中安装NDK 和 CMake在AndroidStudio中新建C++项目选择语言为java等待 Build,项目运行正常。在Project Structure中配置ndk路径,然后可以在local.properties中查看配置并且项目会生成cpp文件夹查看 CMakeLists.txt 的内容在构建脚本中指定“native-lib”作为
2021-06-06 00:14:19
206
2
原创 smali动态调试
实验要求实现login APP的动态调试,找出对应于用户名的真实登录口令实验准备收到login程序,尝试安装并运行需要android stuidio插件smalidea在file-settins中安装plugin实验过程首先将login解包,生成decode文件夹输入命令apktool d app-debug.apk -o ./decode -f用Android Studio打开decode,右键smali更改smali的属性为sources root选择profile,
2021-05-20 19:26:48
336
1
原创 monitor+androidkiller
要求:利用monitor和androidkiller找到程序运行关键点(绕过“天空”的支付检查)附加题:绕过“滑雪”和“水果”的支付检查Monitormonitor.bat在C:\Users\ASUS\AppData\Local\Android\Sdk\tools\lib\monitor-x86_64下,为了方便在cmd中打开可以添加到系统变量中在cmd中直接输入monitor并回车即可运行monitor为了链接nox和monitor,我们首先要找到nox的pid,使用命令tasklist
2021-05-13 18:26:38
1752
原创 Android逆向学习#3
一、编写广告弹窗添加一个活动后,编写如下代码:final Intent intent=new Intent(Main2Activity.this,MainActivity.class); Timer timer=new Timer(); TimerTask timerTask=new TimerTask() { @Override public void run() { startActivi
2021-04-27 15:02:20
170
原创 Android逆向学习#2
突破用户名和口令的验证1、编写一个验证app给下一位同学。app功能如下:如果用户名和口令输入正确则显示“恭喜你通过验证!”,否则显示“验证失败!”2、在获得上一位同学编写的app后,争取能够突破用户和口令的验证,让app显示“恭喜你通过验证!”我的代码是比较两个输入是否相等,是否都是xswsx破解...
2021-04-22 21:55:18
201
原创 Android 逆向学习#1
Android 逆向学习#1学会使用apktool, keytool, jarsigner等工具1、为后一位同学编写一个点击按钮出现Toast的app,并以apk的形式发送给学号后一位同学2、对前一位同学发来的apk进行逆向,并将Toast中的文字改为自己的学号+姓名。3、进一步修改前一位同学apk,将app名字改为自己的学号。PS:我发给下一个同学的Toast是Rick&Morty一、查看程序结构收到上一位同学的文件尝试安装到nox里运行,结果如下:也就是说,要找到******
2021-04-13 15:17:31
163
原创 Android Studio学习#4
安卓数据读写通过文件操作和数据库操作进行数据读写1、完成安卓对文件的读写操作。分成读写不一致和一致两种情况。2、完成安卓对SQLite数据库的操作。包括数据库建立、创建表格、插入数据、更新数据、删除数据以及查询数据。附加题:对SQLite的所有操作都是根据用户的输入完成。一、安卓对文件的读写首先布局如上,分别初始化两个文本和两个按钮,并添加监听事件。文件读写可以分别用两个try捕获异常@Override protected void onCreate(Bundle savedInst
2021-04-10 10:38:24
216
原创 Android Studio学习#3
安卓控件使用完成ZJGSU_STUDENT网络登录界面的实现,如图所示(仅需要实现网络准入认证系统那个对话框即可)。要求:1、用户名输入框中的提示还需要加上自己的学号2、口令输入框中的提示还需要加上自己的姓名3、当点击登录按钮时,会跳出TOAST,并显示用户刚输入的用户名4、当点击取消时,会跳出TOAST,并显示用户刚输入的口令。布局要求:有背景图片和校徽一、Layout布局成品图:按钮颜色只能通过background更改,在新建的xml里面添加item修改属性布局代码如下:ma
2021-04-03 16:44:35
224
原创 SQL注入学习#3
MySQL注入实例五——盲注平台:SQli-labsLess-51.基于布尔的盲注布尔盲注理论基础(无回显通过返回真假判断数据)https://blog.csdn.net/weixin_45146120/article/details/100104131?spm=1001.2014.3001.5501观察页面并寻找注入点/?id=1/?id=1’用Left函数猜测数据库版本,第一位是否为1(若错误则无回显)/?id=1’and left(version(),1)=1%23使用len
2021-03-29 15:12:35
242
原创 Android Studio学习#2
进程间调用实验目的实验内容实验步骤新建Activity并初始化实验目的理解Android Studio的进程调用过程和内核实验内容1.通过创建新进程,创建新对话框理解调用方式2.了解四种Launch Mode实验步骤新建Activity并初始化1.在activity中new两个新empty activity,重命名为normal和dialog2.在两个activity的layout中分别添加不同的显示,这里在Normal中添加textView,dialog中不用做修改,用以弹出对话框即可
2021-03-24 21:42:42
221
原创 SQL注入学习#2
MySQL注入实例一平台:SQli-labs‘ = %27空格 = %20为学习方便,可以借用站长工具url编码进行翻译Less-1界面如下:尝试 ?id=1和?id=100这时候我们可以尝试在?id=100后面加上’(%27),找到注入点根据报错返回语句,猜测注入语句SELECT * FROM XXX WHERE id = ‘XX’LIMIT 0, 1SELECT * FROM XXX WHERE id = ‘1’LIMIT 0, 1接下来尝试闭合,–+用以注释掉后面的多
2021-03-22 15:37:06
144
原创 SQL注入之MySQL学习入门#1
##### sql手工注入初步了解 #####文章目录SQL手工注入一、SQL注入基础1.什么是SQL注入2.SQL注入攻击的产生原因及危害二、MySQL注入基础三、MySQL手工注入分析1.注入基本信息2.确定表和字段四、安全防御措施SQL手工注入一、SQL注入基础1.什么是SQL注入SQL注入: 攻击者通过把SQL命令插入web表单并提交,或者通过域名或页面请求的查询字符串,达到欺骗服务器执行恶意SQL命令的目的。目的: 访问SQL服务器、在用户特权下执行SQL代码、链接数据库、显
2021-03-22 14:47:28
118
原创 Android Studio学习#1
姓名:徐思为班级:安全1801学号:1812190523日期:2021/3/16指导老师:邵俊2021-3-16 Intent的使用实验目的:加深安卓逻辑和视图分离的编程理念;熟悉和使用Intent1、为原本为空的Activity添加一个按钮,并使按钮的点击响应为一个提示,提示内容为自己的学号和姓名。2、两个Acitivity之间的跳转通过按钮显示跳转 new Intent(context, toActivity)通过action和category隐式地跳转跳转到浏览器附加题.
2021-03-17 15:04:30
292
原创 Docker学习#1
Docker初步了解0. 什么是容器?0.1 容器的概念0.2 容器的优点0.3 容器总结1. 什么是Docker?1.1 Docker基本组成1.2 Doker的运用场景1.3 Docker的优点2. Kali安装Docker环境准备:卸载原Docker环境2.1安装https协议、CA证书、dirmngr2.2添加GPG密钥并添加更新源2.3系统更新*2.4更改文件配置2.5安装最新Docker&&启动Docker服务器2.6安装compose2.7测试Docker hello worl
2021-03-13 17:55:35
110
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人