渗透测试——信息收集之APP提取敏感信息

最新推荐文章于 2022-11-29 20:06:57 发布
最新推荐文章于 2022-11-29 20:06:57 发布
阅读量1.7k 收藏 6
点赞数 2
文章标签: 反编译 android 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Rabbit_runner/article/details/112311217
版权
本文介绍了如何使用AndroidKiller对移动APP进行反编译,以获取未加密加壳APP的源代码。通过该工具,可以查找并提取APP内的子域名和接口地址,为信息收集提供帮助。
摘要由CSDN通过智能技术生成

信息收集之APP提取子域名

前言

一提到APP,我们就会想到逆向工程,对APP进行反编译,在这里我会用androidKiller这个自动化工具进行APP的反编译,成功后我们可以通过输入关键字Http收集到APP发布公司的大量子域名和IP。。。说到这里有种大材小用的感觉 - -。我都反编译成功了App了怎么可能还搜集不到子域名,这里只是介绍了一种方法,可能提取相关IP地址和之前找不到的域名,APP里面也有大量的接口IP和内网IP,我们还可以找到很多安全漏洞。

一、AndroidKiller是什么

androidKiller是一个可以对移动APP进行反编译的工具,如果一个公司的APP做好后没有对其进行加密加壳,通过这个工具就可以直接反编译,得到这个APP的源代码。

二、使用步骤

1

最低0.47元/天 解锁文章
Rabbit_runner
关注
介绍两款App敏感信息收集工具
大河之犬的博客
04-18 1381
之后把需要测试的apk文件放在当前目录下的apps文件夹中,直接运行exe即可,结果会生成在result文件夹中。APKLeaks是一个apk文件敏感信息扫描工具,它会扫描apk来获取URI、端点和secret信息。下载后,先运行一下exe生成文件夹。
app敏感信息工具
白昼小丑的博客
11-20 699
使用Python开发,依赖于apkutils模块,可执行文件使用pyinstaller打包。
ApkAnalyser-apk敏感信息提取
09-26
将apk程序放入apps目录中,运行apkAnalyser.exe或.py后,自动提取apps目录中的apk程序,并将结果放入result目录中。
GrabME:敏感信息提取工具
06-13
抓住我 敏感信息提取工具。 报告错误: 用法示例: GrabME - Extract Sensitive information from a file. Usage: ./grabme.py -f [FILE] OR ./grabme.py -f [FILE] -f [FILE] ... etc. What can it extract ?: Links hash values email addresses ipv4, ipv6 addresses bitcoin wallet addresses MAC addresses with : or - (deliminators) USA Based Telephone, Social Security and Major Credit Card numbers. 变更日志: 添加了 -f 选项,因此可以同时读取多个文件。
渗透测试(二):敏感信息明文传输
没有梦想何必远方#
04-30 3050
测试准备 我们以https://demo.stylefeng.cn/为例 打开BurpSuite工具,并将请求拦截开关打开 开始测试 点击登录按钮,在BurpSuite工具拦截登录请求 在上图中,username、password信息都为明文传输,我们可以获取到用户名和密码,这样黑客就得到了有用信息。并且我们可以修改此信息,例如我们将admin修改为admins,那么访问后台...
渗透测试笔记——收集于网络
08-05
信息收集渗透测试中的重要环节,涉及多个方面,例如通过Whois查询网站信息、检测网站IP是否使用CDN服务、分析域名的历史IP记录、识别网站架构和服务器指纹、挖掘子域名、确认网站使用的CMS及第三方js库、搜集DNS...
【小迪安全day09】信息收集——APP 及其他资产
最新发布
RichUee的博客
11-29 323
在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集尤为重要。
渗透测试信息收集(上篇)
weixin_40324676的博客
11-07 3347
信息收集(知己知彼,百战不殆) 网络空间被誉为“第五空间”,在此空间发生的对抗已经愈演愈烈。而网络空间中应用最为广泛的web应用的安全问题,已经关系到国际民生,所以web安全是重中之重。 强调安全不简单强调防御,而应该从攻击者的角度,思考安全,所以web渗透测试犹为重要,即“未知攻,焉之防”。 既然是攻击者的角度思考防御,那么攻击的手段是多种多样的。若要发起一次成功的攻击,在攻击之前,对目标的全方...
小白必读记~内网渗透之信息搜集 (超级详细的哦)(1)
weixin_45900492的博客
11-26 979
渗透的“灵魂”——信息搜集 大家好: 欢迎阅读此文章 ,个人感觉做渗透犹如去做一件任务或者攻打一个事物。我们首先掌握被攻击者的习惯,属性,知己知彼方能百战百胜。渗透也一样,我们首先对这个网站进行了解,所以我认为信息搜集是他的“灵魂’. 特别是小白们,多多第几遍哦! 我ye是过来人@ 只要你信息搜集比较多,对他了解比较多,挖漏洞也是很容易的。 话不多说,正文开始!请耐心细品!!! 1.1 第一步...
敏感信息检查工具 关键字过滤
08-29
敏感词过滤、查找
Android App 中隐藏敏感信息
世事,为之则易,不为则难!
08-09 1472
说明           我们开发的Android应用,大部分代码使用Java实现,当应用被反编译之后,一切信息都是暴漏出来的,如果一些信息我们希望不被暴漏出来,如:加密算法的密钥、在各大开放平台申请得到的AppKey、AppSecret等,为了解决这个问题,我们可以使用*.so文件将这些信息隐藏起来,并在Java中使用JNI调用。     实现      首先需要下载NDK
渗透测试信息搜集
a15929748502的博客
04-03 795
可以说信息搜集是渗透测试相当重要的一步,占到整个测试时间的50%-70%。 (1)域名搜集 对应的IP: 子域名收集:大的集团大多都有子域名(子站),当主站不好攻击的时候,就可以用子域名做切入点,在子域中找出不太安全的站进行攻击,如比较老的子站。可以用Layer等工具。 whois:根据已知的域名进行反查,分析出此域名的注册人(企业),邮箱,电话等,可以用站长工具查询。(当这个站本身安全性...
渗透测试信息收集——APP信息
一个普普通通的博客
02-12 1013
渗透测试信息收集APP信息
app信息收集和waf识别
qq_45448359的博客
04-14 643
waf Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品 WAF与网络防火墙的区别 网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可
java反编译工具_app安全之反编译(一)
weixin_39902508的博客
11-13 472
以往安全爱好者研究的往往是关注app的本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多。移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/se...
APP&反编译&工具
weixin_54882883的博客
05-09 889
没有知识点开局全是实战 app反编译 用到一款工具 一键反编译工具 注意点 要安装的命令 pip install click pip install xlwt 直接反编译一款app 命令 python app.py android -i QQC.apk 那么他后面编译出了 一些http地址 我们复制这些地址看看 到底是什么东西 F给你色色 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KdP0pLgX-1652057666264)(D:\小迪2022\2
提取APK中的URL地址
技术超强的网络安全平台
04-16 7807
一、目的   客户端渗透测试前期信息收集过程中可以在APK中检索开发过程中没有删掉的URL地址,在这些地址中可能会发现后台、搜索引擎、子域名查找不到的一些资源。 二、操作 这里我使用任意一款APP进行测试 反编译APK文件 apktool d <xxx.apk> 1 将反编译的文件zip打包发送到li...
【文章转载】- 微信小程序域名收集工具
君行路的博客
11-28 1308
微信公众号:信安文摘 通过一个微信小程序接口搜集目标单位域名,学习。 原文链接:奇安信攻防社区-微信小程序域名收集工具开发 https://forum.butian.net/share/890 代码请复制原文。 在一个风和日丽的中午,突然收到了上级领导发下的一个漏洞清单,估计是被外面的师傅搞了,通过几次的探测发现,该域名是集团下的某个平台小程序的域名,而漏洞也是很简单,就是个springboot的接口泄露,关键是这个小程序平时也不显眼,也没有给我们做过渗透,这下突然来了还把我们搞得措手不急,所以就想到,.
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值