allsafe

AllSafe adalah aplikasi yang sengaja rentan yang berisi berbagai kerentanan. Tidak seperti aplikasi Android yang rentan, yang ini kurang seperti CTF dan lebih seperti aplikasi kehidupan nyata yang menggunakan perpustakaan dan teknologi modern. Selain itu, saya telah memasukkan beberapa tantangan berbasis Frida untuk Anda jelajahi. Bersenang -senang dan bahagia peretasan!

Saya memiliki skrip Frida saya (lebih seperti templat) di repositori lain. Saya yakin mereka mungkin cukup berguna untuk tugas -tugas terkait Frida. Lihatlah: https://github.com/t0thkr1s/frida

Kerentanan Pengungkapan Informasi Sederhana. Gunakan alat baris perintah logcat untuk menemukan informasi sensitif.

• Alat logcat
• Coinbase OAuth Code Response Bocor

Beberapa kredensial ditinggalkan dalam kode. Tugas Anda adalah merekayasa ulang aplikasi dan menemukan informasi sensitif.

• Kredensial Hardcoded Zomato
• 8x8 kredensial hardcoded
• Reverb Secret API Hardcoded

Ini murni untuk latihan Frida. Buat kode percaya bahwa perangkat Anda tidak di -root!

Modul memuat dengan aman dengan aplikasi pihak ketiga tidak mudah. Tulis aplikasi POC dan eksploitasi kerentanan!

• Eksekusi kode sewenang-wenang melalui konteks paket pihak ketiga

Tugas berbasis Frida lainnya. Tidak ada kerentanan nyata di sini, bersenang -senang melewati bendera aman!

• Referensi Android Flag_secure

Pinning sertifikat diimplementasikan menggunakan pustaka OKHTTP. Anda harus memotongnya untuk melihat lalu lintas dengan Burp Suite.

• Sertifikat dan Pinning Kunci Publik
• Kerentanan Coinbase

Ada penerima siaran yang rentan dalam aplikasi. Memicu data yang benar dan Anda selesai!

• Ikhtisar Siaran Android
• OK.ru Eksploitasi Penerima Siaran
• Bitwarden Rentan Siaran Penerima

Mirip dengan penerima siaran yang tidak aman, Anda perlu memberikan parameter kueri yang tepat untuk menyelesaikan tugas ini!

• Android Linking Deep
• Ambil tautan yang tidak aman
• Periscope Deep Link CSRF

Hanya injeksi SQL reguler yang akan Anda temukan di aplikasi web. Tidak perlu membalikkan kode untuk memotong mekanisme login.

• Injeksi SQL di Penyedia Konten

Anda juga dapat menyelesaikan tugas ini tanpa mendekompilasi aplikasi. Pop dialog peringatan dan baca file!

• OwnCloud Webview XSS

Dalam tugas ini, Anda harus memodifikasi aliran eksekusi aplikasi dengan mengedit kode SMALI. Akhirnya, membangun kembali dan menandatangani APK!

• Penandatangan APK Uber

Aplikasi menggunakan perpustakaan asli yang memvalidasi kata sandi yang dimasukkan. Reverse Engineer Perpustakaan untuk menemukan kata sandi kemudian gunakan Frida untuk mengaitkan metode asli.

• Ghidra
• Pemotong

Memperhatikan bug? Punya saran? Jangan ragu untuk membuka masalah atau membuat permintaan tarik!

Jika proyek ini berharga bagi Anda atau membantu Anda dengan cara apa pun, harap pertimbangkan untuk memberikan sejumlah kecil donasi melalui cryptocurrency berikut. Memberi bintang pada proyek ini juga banyak membantu. Terima kasih!

Alamat Bitcoin ⟹ BC1QD44KVJ6ZATJGN27N45UXD3NPRZT6RM9X9G2YC8

Alamat Ethereum ⟹ 0x1835A58E866A668C48EE63D32432C7FE28AF54B4

Alat ini hanya untuk tujuan pengujian dan akademik dan hanya dapat digunakan di mana persetujuan ketat telah diberikan. Jangan menggunakannya untuk tujuan ilegal! Adalah tanggung jawab pengguna akhir untuk mematuhi semua undang -undang lokal, negara bagian dan federal yang berlaku. Pengembang tidak bertanggung jawab dan tidak bertanggung jawab atas penyalahgunaan atau kerusakan yang disebabkan oleh alat dan perangkat lunak ini.

Proyek ini dilisensikan di bawah lisensi GPLV3 - lihat file lisensi untuk detailnya