allsafe

Allsafe是一個有意脆弱的應用程序，包含各種漏洞。與其他脆弱的Android應用程序不同，該應用程序不像CTF，更像是使用現代庫和技術的真實應用程序。此外，我還提供了一些基於弗里達的挑戰供您探索。玩得開心和快樂的黑客！

我在其他存儲庫中有我的Frida腳本（更像模板）。我敢肯定，對於Frida相關的任務，它們可能非常方便。檢查一下：https：//github.com/t0thkr1s/frida

簡單的信息披露漏洞。使用logcat命令行工具發現敏感信息。

• logcat工具
• COINBASE OAUTH響應代碼洩漏

代碼中保留了一些憑據。您的任務是對應用程序進行反向工程並找到敏感信息。

• Zomato硬編碼憑證
• 8x8硬編碼憑證
• 混響硬編碼API秘密

這純粹是用於弗里達的實踐。使代碼相信您的設備沒有紮根！

使用第三方應用程序安全加載模塊並不容易。編寫POC應用程序並利用漏洞！

• 通過第三方軟件包上下文執行任意代碼

另一個基於弗里達的任務。這裡沒有真正的漏洞，只需繞過安全的標誌就可以玩得開心！

• android flag_secure參考

證書固定是使用OKHTTP庫實現的。您必須繞過它，以便使用Burp Suite查看流量。

• 證書和公鑰固定
• 共插基漏洞

應用程序中有一個脆弱的廣播接收器。用正確的數據觸發它，您就完成了！

• Android廣播概述
• OK.RU廣播接收器開發
• Bitwarden脆弱的廣播接收器

與不安全的廣播接收器類似，您需要提供正確的查詢參數才能完成此任務！

• Android深鏈接
• 抓住不安全的深度鏈接
• 潛望鏡深鏈接CSRF

只是您在Web應用程序中找到的常規SQL注入。無需逆轉代碼即可繞過登錄機構。

• 內容提供商中的SQL注入

您也可以完成此任務而不將應用程序進行分配。彈出警報對話框並讀取文件！

• OwnCloud WebView XSS

在此任務中，您必須通過編輯SMALI代碼來修改應用程序的執行流。最後，重建並簽署APK！

• Uber APK簽名者

該應用程序使用驗證輸入密碼的本地庫。對庫進行反向工程以查找密碼，然後使用Frida鉤住本機方法。

• 吉德拉
• 刀具

注意到一個錯誤？有建議嗎？隨意打開問題或創建拉動請求！

如果該項目對您有價值或以任何方式幫助您，請考慮通過以下加密貨幣進行少量捐贈。在項目上賦予明星也有很大幫助。謝謝！

比特幣地址⟹bc1qd44kvj6zatjgn27n45uxd3nprzt6rm9x9g2yc8

以太坊地址⟹0x1835A58E866668C48EEE63D32432C7FE28AF54B4

該工具僅用於測試和學術目的，只能在給予嚴格同意的情況下使用。不要將其用於非法目的！遵守所有適用的地方，州和聯邦法律是最終用戶的責任。開發人員不承擔任何責任，也不對此工具和軟件造成的任何濫用或損害負責。

該項目已根據GPLV3許可證獲得許可 - 有關詳細信息，請參見許可證文件