allsafe

Allsafe هو تطبيق ضعيف عن قصد يحتوي على نقاط الضعف المختلفة. على عكس تطبيقات Android الضعيفة الأخرى ، فإن هذا التطبيق أقل شبهاً بـ CTF وأكثر مثل تطبيق الحياة الواقعية التي تستخدم المكتبات والتقنيات الحديثة. بالإضافة إلى ذلك ، قمت بتضمين بعض التحديات القائمة على Frida لاستكشافها. استمتع بالقرصنة السعيدة!

لدي البرامج النصية Frida الخاصة بي (أشبه القوالب) في مستودع آخر. أنا متأكد من أنهم قد يكونون مفيدين تمامًا للمهام المتعلقة بالفريدا. تحقق من ذلك: https://github.com/t0thkr1s/frida

ثغرة أمنية الكشف عن المعلومات البسيطة. استخدم أداة سطر أوامر logcat لاكتشاف المعلومات الحساسة.

• أداة logcat
• Coinbase Oauth Response Code Teak

يتم ترك بعض بيانات الاعتماد في الكود. مهمتك هي عكس هندسة التطبيق وإيجاد معلومات حساسة.

• أوراق اعتماد Zomato المتشددين
• 8x8 أوراق اعتماد متشددين
• صدى سر API المتشددين

هذا محض لممارسة فريدا. اجعل الرمز يعتقد أن جهازك ليس متجذرًا!

إن تحميل الوحدات النمطية بشكل آمن مع تطبيقات الطرف الثالث ليس بالأمر السهل. اكتب تطبيق POC واستغل الضعف!

• تنفيذ رمز تعسفي عبر سياقات حزمة الطرف الثالث

مهمة أخرى قائمة على فريدا. لا يوجد ثغرة حقيقية هنا ، فقط استمتع بتجاوز العلم الآمن!

• Android Flag_secure Reference

يتم تنفيذ تثبيت الشهادة باستخدام مكتبة OKHTTP. يجب عليك تجاوزه من أجل عرض حركة المرور باستخدام مجموعة التجشؤ.

• الشهادة وعلق المفتاح العام
• نقاط الضعف Coinbase

هناك استقبال البث الضعيف في التطبيق. قم بتشغيله بالبيانات الصحيحة وقد انتهيت!

• أندرويد البث نظرة عامة
• OK.RU استغلال المتلقي البث
• جهاز استقبال البث الضعيف Bitwarden

على غرار جهاز استقبال البث غير الآمن ، تحتاج إلى توفير معلمة الاستعلام الصحيحة لإكمال هذه المهمة!

• الربط العميق Android
• احصل على رابط عميق غير آمن
• Periscope Deep Link CSRF

مجرد حقن SQL العادي الذي تجده في تطبيقات الويب. لا حاجة لعكس الكود لتجاوز آلية تسجيل الدخول.

• حقن SQL في مزود المحتوى

يمكنك أيضًا إكمال هذه المهمة دون إلغاء تجميع التطبيق. قم ببوب مربع حوار تنبيه وقراءة الملفات!

• OwnCloud WebView XSS

في هذه المهمة ، يجب عليك تعديل تدفق تنفيذ التطبيق عن طريق تحرير رمز Smali. وأخيرا ، إعادة بناء وتوقيع APK!

• Uber APK Signer

يستخدم التطبيق مكتبة أصلية تقوم بالتحقق من صحة كلمة المرور التي تم إدخالها. عكس هندسة المكتبة للعثور على كلمة المرور ثم استخدم Frida لربط الطريقة الأصلية.

• جدورا
• قاطع

لاحظت خطأ؟ هل لديك اقتراح؟ لا تتردد في فتح مشكلة أو إنشاء طلب سحب!

إذا كان هذا المشروع قيمة لك أو ساعدك بأي شكل من الأشكال ، فيرجى التفكير في تقديم قدر صغير من التبرع عبر العملات المشفرة التالية. يساعد إعطاء نجمة في المشروع أيضًا كثيرًا. شكرًا!

عنوان Bitcoin ⟹ BC1QD44KVJ6ZATJGN27N45UXD3NPRZT6RM9X9G2YC8

عنوان Ethereum ⟹ 0x1835A58E866A668C48EE63D32432C7FE28AF54B4

هذه الأداة مخصصة فقط للاختبار والأغراض الأكاديمية ولا يمكن استخدامها إلا عند تقديم موافقة صارمة. لا تستخدمه لأغراض غير قانونية! إنها مسؤولية المستخدم النهائي عن إطاعة جميع القوانين المحلية والولائية والولائية المعمول بها. لا يتحمل المطورون أي مسؤولية وليس مسؤولين عن أي سوء استخدام أو ضرر ناتج عن هذه الأداة والبرنامج.

تم ترخيص هذا المشروع بموجب ترخيص GPLV3 - راجع ملف الترخيص للحصول على التفاصيل