通过apk拿下服务器

最新推荐文章于 2023-10-17 22:30:22 发布
最新推荐文章于 2023-10-17 22:30:22 发布
阅读量3.5k 收藏 12
点赞数
分类专栏: web安全 文章标签: 通过apk拿下服务器 简单的web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LL458524906/article/details/78391317
版权
本文记录了一次通过apk应用进行web渗透的过程。作者使用海马玩+Burp Suite做代理,发现apk允许不受限制的文件上传。通过目录遍历和%2f替换绕过限制,成功执行了恶意代码。随后利用菜刀连接并获取了服务器的最高权限,进一步通过msf进行端口转发,实现了从内网到外网的3389端口访问。整个过程揭示了应用程序安全审核的重要性。
摘要由CSDN通过智能技术生成

工作需要测试了一个apk程序,相比较于网站,apk的基本就是在裸奔,闲着无聊,做过小记录

拿到一个apk,做了代理代理,我使用的是海马玩+Burp Suite,在功能界面找到了一个上传位置,将图片上传,抓包,测试,发现并没有对后缀和内容作审查。

流程都一样


可以看到上传成功,之后访问发现


不能执行,看来是对这个目录做了限制,无法执行,换个目录试试


最低0.47元/天 解锁文章
fan_renlei
关注
专栏目录
IIS 服务器下载apk文件报404错误的解决方法
09-29
在使用IIS作为服务器时,遇到APK文件下载报404错误的情况,通常是因为服务器没有正确地设置MIME类型导致的。 MIME(Multipurpose Internet Mail Extensions)类型是一种用于邮件和网络内容的标准,用来告诉浏览器或...
怎么从apk源码中查看服务器地址,反编译apk查看源码
weixin_33939716的博客
07-30 5365
工具包主要是说下如何反编译apk的步骤:1. 下载好上面的工具,各自解压到当前文件夹下,这个不多说。TIM截图20181014152139.png2. 使用dex2jar反编译dex文件将需要反编译的APK后缀名改为.rar或则 .zip,解压看到目录TIM截图20181014150751.png得到其中的classes.dex文件(它就是java文件编译再通过dx工具打包而成的),将获取到的cl...
使用fiddler进行手机应用抓包分析详细步骤
buki26的博客
09-27 928
1、下载并安装fiddler 傻瓜式安装就可以,安装后图标: 2、设置fiddler 打开fiddler,默认就开始在抓取本机上的数据 要设置手机 应用的抓取: Tools->options 勾选下列选项: 3、设置安卓手机 首先要获取电脑的ip地址 可以在命令行输入ipconfig获取ipv4地址 也可以看fiddler软件右上角的online,点开的ip地址应该和上面获取的ipv4...
分享好东西:android抓包工具fiddler使用介绍 抓取 手机APP 中资源。
hjysmi的专栏
06-29 3526
正题:这里介绍 抓包的关键,Fiddler  ,Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯。     我们就是用这款软件抓取 ,我们手机app 访问的 资源路径 的。     下面 我们拿实例 来演示下,怎么用fiddler 抓取数据。(以某拍为例吧)。      环境: win7 和 G620S-UL00(华
android应用程序抓包
weixin_34204722的博客
05-24 124
为什么80%的码农都做不了架构师?>>> ...
fiddler-抓包之app
m0_47039430的博客
06-29 298
遇到问题:APP提交数据,在web端对应记录数据缺失。想要查看APP提交的数据是否正确 1、先确认设置代理,点击“Tools”—“Options”,点击“Connections”,记住端口号8888,勾选“Allow remote computers to connect”,设置完成后,关闭fiddler然后重新打开,确保设置已生效。 2、打开电脑运行-cmd-输入ipconfig-查看IP地址 3、在手机端设置代理-手动-主机名输入2中查到的 IP地址-端口输入8888-保存 4、到此就可
手机连接服务器apk
06-14
【标题】"手机连接服务器apk"所涉及的知识点主要集中在移动设备如何通过应用程序(apk)与远程服务器进行交互。在Android系统中,apk是应用程序的安装包,它包含了运行应用程序所需的全部代码、资源和配置文件。这个...
apk在线服务器更新附带两个别人代码只做参看
01-16
【标题】"apk在线服务器更新"涉及到的是Android应用的远程版本控制与更新技术,这是一个重要的功能,使得用户无需通过Google Play或其他应用商店就能获取应用的最新版本。在Android开发中,这种技术通常用来提高更新...
APKpure_V2.13.6(官网下载)
11-12
来源:apkpure.com (官网)、APKpure_V2.13.6(官网下载)。
服务器iis支持.apk文件下载的设置方法
01-20
越来越多的人使用手机上网,很多网站也应手机上网的需要推出了网站客户端,.apk文件就是安卓(Android)的应用程序后缀名,默认情况下,使用IIS作为Web服务器的无法下载此文件,那么怎么才能让IIS支持.apk文件的下载呢...
Android—获取apk详情信息
JiangWeiHu的博客
09-20 778
最近项目中需要用的通过包名跳转到相应的APP,通常要获取apk的最基础的信息,以下是使用aapt命令来获取apk的详情信息,来拿到app对应的包名。 第一步:找到aapt 首先,我们找到sdk的根目录,然后找到build-tools,接下来我们会看到build-tools的版本号,随便打开一个,便可看见aapt,如下图所示: 第二步:配置环境变量 将build-tools/29.0.1配置到我的...
apk和小程序渗透
最新发布
weixin_58954236的博客
10-17 1217
小程序通信几乎百分百是使用https,只要抓到包,就可以进行渗透测试;删除cookie后相应的内容还是一摸一样,那么说明这个请求点有问题很可能存在越权漏洞;可以使用小程序的反编译工具,编译出小程序的源代码进行代码审计,获取里面的url地址尝试访问抓包;查找api,info等具有特殊含义的变量或函数(方法),通过这些特殊字符可以发现小程序的一些未授权、敏感信息泄露等信息安卓高版本不信任https的证书了,在给小程序安装证书,证书需要进行编译。
apk获取后台源代码
a77748937的博客
02-06 577
这个不是教程,只是我的笔记,我只写笔记……不过大家可以参考 apk直接解压,现在的解压工具都可以直接解压的 第一步:先把那个classes.dex弄成jar文件 去百度找个dex2jar,解压,把classes.dex文件放到dex2jar目录下 方法一:打开命令窗口,定位到dex2jar.bat所在目录(也可能有个前缀,看起来最像那个吧……),执行 dex2jar.ba...
Android从服务器端获取数据的几种方法
woshishuoshuoa的专栏
09-13 4906
在android中有时候我们不需要用到本机的SQLite数据库提供数据,更多的时候是从网络上获取数据,那么Android怎么从服务器端获取数据呢?有很多种,归纳起来有 一:基于Http协议获取数据方法。二:基于SAOP协议获取数据方法,三:忘了------- 那么我们的这篇文章主要是将关于使用Http协议获取服务器端数据,这里我们采取的服务器端技术为java,框架为Struts2,或者
apk下载服务器,文件服务器,apache 文件服务器
mxthing的专栏
12-19 828
市面上很多移动测试服务器,但是基于安全问题,大多要求实名认证。更严格的是如果apk内容涉及违法,或游走在法律边缘,基本上传就被封。 经历了一段时间的文件共享,测试吐槽每次都要用qq中转从Pc共享拷贝过来的apk,传到手机安装,比较坑。 之前已经在电脑上安装了wamp 所以直接想到了使用文件服务器来共享apk,直接在手机上下载安装,减少传递中转耗时。 文件列表实现方式 apache的一个模...
利用手机模拟器进行apk抓包分析
王陈锋的博客
10-04 4905
首先要确定模拟器版本,有些模拟器模拟的是Android7.0以及以上的版本,版本过高,手机会不信任用户自主安装的证书。如果要让手机信任用户的证书,操作又会变多,所以这里采用Android5.0版本。本文针对手机上的恶意软件,进行动态分析,流量抓包而进行的前期配置。点击设置,安全,从SD卡安装,双击FiddlerRoot.cer。打开fiddler,打开手机要抓包的软件,可以直接抓取数据。打开模拟器,首先导入要安装的apk,直接拖入就好。在导入过程中,会让我们安装证书,全部默认就好。点击wifi,长按左键。
通过注入拿下服务器
椰树ii
12-28 2825
    首先,碰到了个站。注入漏洞,看一下是不是DBA权限。   当前用户是DBA权限,执行os-shell       可以直接执行命令,但是有时候会卡到链接超时,在执行os-shell的过程中有条信息,就是上面打红的地方(忽略掉打码技术),访问该地址它。       能直接上传文件,上传NC,反弹shell(sqlmap里shell实在卡得不行,回显太慢) ...
apk 连接服务器 修改,修改apk连接服务器地址
weixin_42525385的博客
08-09 883
修改apk连接服务器地址 内容精选换一换系统提示无法下载脚本或使用Linux系统方式二安装Agent时失败。原因1:DNS无法正常解析OBS的域名。原因2:目标云服务器openssl版本过低。原因1:DNS无法正常解析obs.myhuaweicloud.com安装域名。需要手动将DNS修改为华为云内网DNS地址。若修改DNS后仍无法正常解析,请稍候重试或使用Linux系统方式一介绍使用同一VPC内...
APK放入服务器下载
qq_39157707的博客
09-02 2720
1、服务器安装tomcat 2、将apk文件放入tomcat目录下的webapps/root/下 3、访问IP:8080/***.apk即可下载。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值