APP测试反编译工具使用
APP测试
首先我们需要使用一个安卓模拟器,这里我们使用的是夜神模拟器。(Android5)
代理配置
- 打开burp->Proxy->Options->Add设置IP号(主机)和端口号(8080)
- 打开设置->WLAN->WiredSSID,长按设置IP号(主机)和端口号(8080)
为了保证抓取https的数据,需要下载burp的证书
- 打开夜神中的浏览器输入http://burp/ 点击右上角下载
- 下载完成后从Amaze文件管理中找到download打开,修改证书格式为.cer
- 安装证书,设置->安全->从sd卡安装,选择改好名字的证书,设置密码。(123456a)
- 打开浏览器输入www.baidu.com测试
模拟器抓包三件套
xposedinstaller.apk直接拖到夜神模拟器中。
sslKiller.apk和JustTrustMe.apk 拖到 xposedinstaller.apk左上角模块中,勾选,并重启夜神模拟器。
反编译工具使用
“反编译Apk”,看上去好像很高端,其实不然,就是通过某些反编译软件,对我们的APK进行反编译,从而获取程序的源代码,图片,XML资源等文件。
简单点的,我们可以下载别人的APK,然后改下后缀名,改成xxx.zip,然后解压:
但是这种方法,获得的只会是一些。png,或者.jpg这样的位图文件资源,如果是xml类的资源,打开我们会发现是乱码,并且假如我们想看APK程序的java代码,也是行不通的,因为他们都打被打包到classes.dex文件中!但是反编译可以解决你的需要,另外,切勿拿反编译来做违法的事,比如把人家的APK重新打包后使用自己的签名然后发布到相关市场,切记!
说到反编译,这里就要用到三个相关工具。
apktool:获取资源文件,提取图片文件,布局文件,还有一些XML的资源文件
dex2jar:将APK反编译成java源码(将classes.dex转化为jar文件)
jd-gui:查看2中转换后的Jar文件,即查看java文件
三个工具的使用
第一步:
- 找一个安卓应用(后缀名为apk)下载到桌面。
- apktool文件下打开cmd输入命令:apktool.bat d C:/Users/xiangyu/Desktop/hcrssyx.apk(位置+文件名)。
- apktool文件中会有一个hcrssyx文件夹。
第二步:
- 应用hcrssyx.apk的后缀名改为zip并且解压。
- 将解压好的文件中的classes.dex复制粘贴到dex2jar文件中。
- 再打开dex2jar的cmd,输入d2j-dex2jar.bat classes.dex。会有一个classes-dex2jar.jar文件被写入。
- 打开jd-gui中的jd-gui.exe,open file->classes-dex2jar.jar。(或直接拖进去)
第三步:
- jadx-gui文件中打开lib文件夹,找到jadx-gui-1.2.0.jar并打开。
- 再打开hcrssyx.apk。
挖掘技巧
登录页面
弱口令
用户枚举
逻辑越权
SQL注入/万能密码
XSS盲打
密码重置
验证码相关漏洞
任意用户注册
用户页面
用户枚举
逻辑越权
SQL注入/万能密码
XSS盲打
CSRF
支付漏洞
未授权访问
文件上传
APP测试反编译工具使用相关推荐
- java反编译工具_移动app安全测试 - 客户端 - 反编译保护
测试小白一枚,最近刚刚开始接触移动App的安全性测试.结合项目的情况和自己一点粗陋的经验,计划从客户端安全.网络传输安全和服务端安全三个方面进行学习和探索. 1.前言 APP客户端作为直接和用户接触的 ...
- java反编译工具_Android APP 取证之逆向工具篇
一.前言 此系列文章将针对 Android APP 取证领域展开讨论.在国内,由于最近几年国产手机厂商之间的竞争和努力,如今 Android 平台的使用数量和广度,已经远超苹果的 iOS 了.如今 A ...
- 代码保护(二) 通过Java反编译工具测试加密效果
上节介绍了当下几款代码保护工具,本节介绍反编译工具对加密的软件进行破解. 反编译工具:jd-gui 打包工具:exe4j 脱壳工具:PEID 调试工具:OllyICE 一.未加密状态 测试过程: 1. ...
- app爬虫反编译(一) 之反编译工具
(一)反编译工具(安卓逆向助手) 给大家介绍一个特别牛的工具全自动的.(Android逆行助手.exe) 下载链接:https://download.csdn.net/download/bigboy_ ...
- Android app反编译工具
参考: APK反编译之APKTOOL的使用 使用android-apktool来逆向(反编译)APK包方法介绍 我是如何使用Android反编译软件的? apktool(链接是谷歌官方的) 谷歌官方提 ...
- jsc反编译工具编写探索之路
对于经常做游戏安全逆向的读者来说,可能会经常遇到Cocos2dx编写的游戏.这个国产开源的游戏开发引擎支持多种编程语言进行游戏开发:发括主流的C/C++/JavaScript/Lua,之前,与大家讨论 ...
- 26款Android反编译工具
译文: http://www.freebuf.com/sectool/111532.html 原文: https://hackerlists.com/android-reverse-engineeri ...
- bat小工具_小程序反编译工具在windows系统下的调用脚本
点击上方蓝字可以订阅哦 之前的文章中介绍了小程序的反编译工具,工具在 Linux 系统下使用时执行bingo.sh [xxx.wxapkg]就可以. 有小伙伴不知道在windows系统下如何使用,这里 ...
- java反编译工具_ReverseTool逆向工具集合
反向工具 逆向工具集合 真棒骇客 Java和Jar(Android) jd-gui jar包浏览工具,对应的IDE插件,JD-Eclipse / JD-IntelliJ Luyten一个用于Procy ...
最新文章
- 你真的会解决问题吗?
- 你可能不知道的Shell
- SAP变式物料的采购如何玩转?看看这篇你就明白了
- springboot 整合hbase
- oracle 生成随机姓名_Oracle 生成随机数,随机字符串
- 60 岁的人工智能,会是“人类历史最后的事件”吗?
- RTM-DSP项目总结
- [日常工作]非Windows Server 系统远程经常断以及提高性能的方法
- mobomarket android,MoboMarket
- CentOS中的网络管理
- Adobe Flash 离线安装包下载
- android app原型设计工具,手机端APP高仿真(UEUI)原型设计(完整版)
- 游戏中的心理学(四):让用户掏腰包的秘密
- Win 10 版NVIDIA GeForce GTX 1060显卡驱动的下载及飞桨(Paddle)的安装
- gitlab在docker报错could not open /var/opt/gitlab/.ssh/authorized_keys解决
- 7层计算机网络体系结构,【计算机网络7层体系结构】
- kali linux 2020.4 自带浏览器英文改中文
- bootstrap之背景图+文字
- 负载均衡(Load Balance)介绍
- Python numpy.random中的shuffle和permutation函数的区别