【漏洞发现】---App应用之漏洞发现利用---day44

【漏洞发现】---App应用之漏洞发现利用---day44

一、思维导图

image-20210512122227880

二、思路

image-20210512122402164

三、案例演示

image-20210512124747400

1、抓包工具WEB协议面使用说明

image-20210512124841325

配置

image-20210512125016580

打开和妹妹吃西瓜聊天的app,登录后随便点一点,看一看

image-20210512125353338

2、茶杯Charles抓包工具

image-20210512130244000

主要是获取url

电脑访问,被拦截:
image-20210512131122217

那就用安卓模拟器,抓下包,对比两种包有啥不同,进行伪造就完事了。

image-20210512131153735

3、抓包精灵

image-20210512131356589

image-20210512131426277

4、Wireshark抓包

其他的抓包软件可能只会抓HTTP比较鸡肋,可以用Wireshark捕获网络接口。各种协议都有了。

5、安卓逆向便捷APK一键提取URL演示

image-20210512132037296

反编译后:

image-20210512132109567

image-20210512132129476

6、利用Burp筛选及联动功能打出军体拳

联动Xray或awvs

打开powershell,使用webscan 监听6666端口

image-20210515144125258

在burp里设置

image-20210515143931200

模拟器这里配置到burp

image-20210515144025265

然后burp就转发到xray那里。

posted @ 2021-05-17 21:22  DarkerG  阅读(228)  评论(0)    收藏  举报