Android-Architektur
Einführung in das mobile Pentesting
Youtube-Videos auf Englisch:
BitsBitte
Insider-Lernende
Hacken vereinfacht
Youtube-Videos auf Hindi:
Lösungen stärken
Ubaid Ahmed
Android Security Internals Ein ausführlicher Leitfaden zur Sicherheitsarchitektur von Android
Pentesting für Android-Geräte lernen Ein praktischer Leitfaden
Android-Sicherheitsangriffe und -verteidigungen
Android SSL-Pinning-Umgehung
Testen-Frida
Test-Drozer
ADB-Befehls-Cheatsheet
Automatisierte-Analyse-mit-MobSF
Testen von Webview-Angriffen
Deep-Link-Ausbeutung
https://apk-dl.com/
https://en.uptodown.com/
https://en.aptoide.com/
https://www.apkmirror.com/
https://f-droid.org/en/
https://en.softonic.com/
https://androidapksfree.com/
Appie
Appie Framework ist ein beliebtes Open-Source-Framework für Penetrationstests von Android-Anwendungen. Es bietet eine umfassende, eigenständige Umgebung, die speziell für das Testen von Android-Anwendungen entwickelt wurde
Dieses Repository bietet eine umfassende Anleitung zur Verwendung des Objection-Tools für mobile Sicherheitstests. Objection ist ein Runtime-Toolkit zur mobilen Erkundung von Frida, das Penetrationstestern dabei helfen soll, die Sicherheit mobiler Anwendungen zu bewerten, ohne dass ein Jailbreak oder Root-Zugriff erforderlich ist.
Einführung
Merkmale
Installation
Voraussetzungen
Einspruch installieren
Grundlegende Verwendung
Beginn des Einspruchs
Allgemeine Befehle
Erweiterte Nutzung
SSL-Pinning umgehen
Interaktion mit dem Dateisystem
Manipulieren von Anwendungsdaten
Fehlerbehebung
Mitwirken
Lizenz
Objection ist ein leistungsstarkes Tool, mit dem Sicherheitsforscher die Sicherheit mobiler Anwendungen zur Laufzeit untersuchen und testen können. Es bietet eine benutzerfreundliche Oberfläche für Aufgaben wie die Umgehung von SSL-Pinning, die Bearbeitung von Anwendungsdaten, die Erkundung des Dateisystems und vieles mehr. Objection ist besonders nützlich, da es sowohl auf Android- als auch auf iOS-Geräten funktioniert, ohne dass Root oder Jailbreak erforderlich sind.
SSL-Pinning umgehen : Deaktivieren Sie ganz einfach SSL-Pinning in mobilen Apps, um den Netzwerkverkehr abzufangen.
Dateisystem-Erkundung : Greifen Sie zur Laufzeit auf das Dateisystem der mobilen App zu und bearbeiten Sie es.
Laufzeitmanipulation : Ändern Sie das Anwendungsverhalten und die Daten, während die App ausgeführt wird.
Plattformübergreifend : Unterstützt sowohl Android- als auch iOS-Geräte.
Stellen Sie vor der Installation von Objection sicher, dass Folgendes auf Ihrem System installiert ist:
Python 3.x : Objection ist ein Python-basiertes Tool und erfordert zur Ausführung Python 3.x.
Frida : Einspruch nutzt Frida unter der Haube. Sie können Frida mit pip installieren:
pip frida-tools installieren
ADB (Android Debug Bridge) : Erforderlich für die Interaktion mit Android-Geräten.
Sie können Objection mit pip installieren:
Einwand gegen die Pip-Installation
Überprüfen Sie nach der Installation, ob Objection korrekt installiert ist, indem Sie Folgendes ausführen:
Einwand --Hilfe
Um Objection mit einer mobilen Anwendung zu verwenden, stellen Sie zunächst sicher, dass die App auf dem Gerät ausgeführt wird. Starten Sie dann Objection mit dem folgenden Befehl:
Einspruch -g <app_package_name> explore
Ersetzen Sie <app_package_name> durch den tatsächlichen Paketnamen der mobilen App (z. B. com.example.app ).
SSL-Pinning umgehen :
Android-SSL-Pinning deaktivieren
Dieser Befehl deaktiviert das SSL-Pinning und ermöglicht Ihnen das Abfangen von HTTPS-Verkehr.
Entdecken Sie das Dateisystem :
Android fs ls /
Listet die Dateien und Verzeichnisse im Stammverzeichnis des Dateisystems der App auf.
SQLite-Datenbanken sichern :
Android-SQLite-Liste Android SQLite-Dump <Datenbankname>
Listet die Inhalte der von der App verwendeten SQLite-Datenbanken auf und speichert diese.
Überprüfen der Schlüsselbund-/Freigabeeinstellungen :
Android-Prefs-Liste iOS-Schlüsselanhänger-Dump
Listet und speichert gemeinsame Einstellungen auf Android oder Schlüsselbunddaten auf iOS.
Objection macht es einfach, SSL-Pinning in mobilen Anwendungen zu umgehen, was zum Abfangen und Analysieren von HTTPS-Verkehr bei Sicherheitsbewertungen nützlich ist. Verwenden Sie einfach den folgenden Befehl:
Android-SSL-Pinning deaktivieren
Sie können das Dateisystem der App direkt über die Objection-Befehlszeile erkunden und bearbeiten:
Dateien auflisten :
android fs ls /data/data/com.example.app/files/
Laden Sie eine Datei herunter :
Android FS herunterladen /data/data/com.example.app/files/secret.txt
Mit Einspruch können Sie die von der App zur Laufzeit verwendeten Daten ändern:
Ändern Sie den Wert einer Variablen :
Android-Hooking-Set class_variable com.example.app.ClassName variableName newValue
Eine Funktion auslösen :
Android-Hooking-Aufruf com.example.app.ClassName methodName arg1,arg2
Einwand stellt keine Verbindung her : Stellen Sie sicher, dass Ihr Gerät ordnungsgemäß über USB angeschlossen ist und dass ADB für Android-Geräte ausgeführt wird. Stellen Sie bei iOS sicher, dass Frida korrekt auf dem Gerät installiert ist.
SSL-Pinning nicht deaktiviert : Einige Apps implementieren möglicherweise SSL-Pinning auf eine Weise, die der standardmäßigen Umgehungsmethode von Objection widersteht. In solchen Fällen müssen Sie möglicherweise benutzerdefinierte Frida-Skripte verwenden.
workbook.securityboat.in
book.hacktricks.xyz
blog.softwaroid.com
xmind.app
Hackinartikel
InsecureShopApp: https://www.insecureshopapp.com GitHub: https://github.com/hax0rgb/InsecureShop
Allsafe
Verletzter Android
HpAndro1337
KGB_Messenger
Mehr über CTF-Herausforderungen für Android-Mobilgeräte: Awesome-Mobile-CTF
Android-Sicherheit und Malware
Youtube
