APP测试
ggzhifeng
这个作者很懒,什么都没留下…
展开
-
(APP测试三板斧)第三板: Frida+IDA手工逆向证书密码
一、优缺点优点:适用大部分情况,尤其是一键自动提取证书和密码,傻瓜化操作缺点:一键自动提取证书和密码还好,但不是万能的,手工逆向证书密码技术难度较大,需要有代码功底,并且如果有加壳加固等操作更加麻烦。二、步骤1.一键自动提取证书和密码因为 APP 在向服务端发请求时, APP 肯定会操作证书,所以如果能找到 APP 操作证书的代码地方, Hook 这部分代码,对参数做些输出打印,证书和证书密码就都有了。大部分情况下,都是Hook java.security.KeyStore原创 2020-07-27 11:00:58 · 4278 阅读 · 1 评论 -
(APP测试三板斧)第二板:frida+一键hook脚本绕过SSL Pining
一、优缺点优点:比xp框架适用范围广,大部分软件都没有检测frida,能绕过绝大部分单向证书绑定。缺点:还是不适用双向证书,还是需要分析app包逆向分析证书密码。二、步骤:1.安装frida客户端(PC)pip install fridapip install frida-tools服务端(安卓手机)在https://github.com/frida/frida/releases下载对应平台的服务端然后解压,移动到Android设备adb p..原创 2020-07-27 10:53:08 · 4013 阅读 · 1 评论 -
(APP测试三板斧)第一板:Xposed+JustTrustMe绕过SSL Pining
一、优缺点优点:自动化,安装好即可,无需任何操作缺点:无法100%绕过,某些软件会检测环境是否有xp框架,存在就无法运行,一些xp隐藏插件隐藏效果并不好二、步骤:1.安装xp框架XposedInstaller_3.1.5.apkhttps://github.com/rovo89/XposedInstallerhttps://repo.xposed.info/module/de.robv.android.xposed.installer2.安装trus...原创 2020-07-27 10:44:34 · 1216 阅读 · 1 评论