allsafe

AllSafe는 다양한 취약점을 포함하는 의도적으로 취약한 응용 프로그램입니다. 다른 취약한 Android 앱과 달리이 앱은 CTF와 비슷하며 최신 라이브러리 및 기술을 사용하는 실제 애플리케이션과 비슷합니다. 또한, 나는 당신이 탐구하기 위해 몇 가지 Frida 기반의 과제를 포함 시켰습니다. 재미 있고 행복한 해킹을하십시오!

다른 저장소에 Frida 스크립트 (템플릿과 같은)가 있습니다. 나는 그들이 Frida 관련 작업에 매우 유용 할 것이라고 확신합니다. 확인하십시오 : https://github.com/t0thkr1s/frida

간단한 정보 공개 취약성. logcat 명령 줄 도구를 사용하여 민감한 정보를 발견하십시오.

• 로그 캣 도구
• Coinbase Oauth 응답 코드 누출

일부 자격 증명은 코드에 남아 있습니다. 귀하의 임무는 앱을 리버스 엔지니어링하고 민감한 정보를 찾는 것입니다.

• Zomato 하드 코드 자격 증명
• 8x8 하드 코드 자격 증명
• 하드 코딩 된 API 비밀 리버브

이것은 순전히 Frida 연습을위한 것입니다. 코드가 귀하의 장치가 루팅되지 않았다고 믿습니다!

타사 앱을 사용하여 모듈을 단단히로드하는 것은 쉽지 않습니다. POC 응용 프로그램을 작성하고 취약성을 이용하십시오!

• 타사 패키지 컨텍스트를 통한 임의 코드 실행

또 다른 Frida 기반 작업. 여기에 실제 취약점이 없으며 안전한 깃발을 우회하는 재미가 있습니다!

• 안드로이드 플래그 _secure 참조

인증서 고정은 OKHTTP 라이브러리를 사용하여 구현됩니다. Burp Suite로 트래픽을 보려면 우회해야합니다.

• 인증서 및 공개 키 고정
• 코인베이스 취약점

응용 프로그램에는 취약한 방송 리시피어가 있습니다. 올바른 데이터로 트리거하면 완료되었습니다!

• 안드로이드 방송 개요
• OK.RU 방송 수신기 익스플로잇
• Bitwarden 취약한 방송 수신기

불안한 방송 수신기와 유사 하게이 작업을 완료하려면 올바른 쿼리 매개 변수를 제공해야합니다!

• 안드로이드 딥 링크
• 불안한 딥 링크를 잡으십시오
• Periscope Deep Link CSRF

웹 응용 프로그램에서 찾을 수있는 일반 SQL 주입 만하면됩니다. 로그인 메커니즘을 우회하기 위해 코드를 뒤집을 필요가 없습니다.

• 컨텐츠 제공자의 SQL 주입

응용 프로그램을 분해하지 않고이 작업을 완료 할 수도 있습니다. 경고 대화 상자를 팝하고 파일을 읽으십시오!

• OwnCloud WebView XSS

이 작업에서는 Smali 코드를 편집하여 응용 프로그램의 실행 흐름을 수정해야합니다. 마지막으로, APK를 재건하고 서명하십시오!

• Uber APK 서명자

응용 프로그램은 입력 된 암호를 검증하는 기본 라이브러리를 사용합니다. 리버스 엔지니어 라이브러리의 비밀번호를 찾으려면 Frida를 사용하여 기본 방법을 연결하십시오.

• 기드라
• 커터

버그를 발견 했습니까? 제안이 있습니까? 자유롭게 문제를 열거 나 풀 요청을 만드십시오!

이 프로젝트가 귀하에게 가치가 있거나 어떤 식 으로든 도움이된다면 다음 암호 화폐를 통해 소량의 기부를하는 것을 고려하십시오. 프로젝트에 별을주는 것도 많은 도움이됩니다. 감사해요!

비트 코인 주소 ⟹ bc1qd44kvj6zatjgn27n45uxd3nprzt6rm9x9g2yc8

이더 리움 주소 ⟹ 0x1835A58E866A668C48EE63D32432C7FE28AF54B4

이 도구는 테스트 및 학업 목적을위한 것이며 엄격한 동의가 주어진 경우에만 사용할 수 있습니다. 불법적 인 목적으로 사용하지 마십시오! 적용 가능한 모든 지역, 주 및 연방법에 순종하는 것은 최종 사용자의 책임입니다. 개발자는 책임이 없다고 가정 하며이 도구 및 소프트웨어로 인한 오용 또는 손상에 대해 책임을지지 않습니다.

이 프로젝트는 GPLV3 라이센스에 따라 라이센스가 부여됩니다. 자세한 내용은 라이센스 파일을 참조하십시오.