Android Pentesting

Android-アプリケーション-侵入テスト

Android開発

初心者向け

• Android-アーキテクチャ

• モバイル侵入テストの概要

英語の YouTube ビデオ:

• ビットプリーズ

• インサイダー学習者

• ハッキングを簡素化

ヒンディー語の YouTube ビデオ :

• ソリューションを強化する

• ウバイド・アハメッド

PDF 書籍

• Android のセキュリティ内部 Android のセキュリティ アーキテクチャの詳細ガイド

• Android デバイスの侵入テストを学ぶ実践ガイド

• Android のセキュリティ攻撃と防御

Android SSL ピン留めバイパス

• Android SSL ピン留めバイパス

Androidアプリのバグを見つける方法

1. テスト-フリーダ

2. テストドローザー

3. ADB コマンド チートシート

4. MobSFを使用した自動分析

5. Webview 攻撃のテスト

6. ディープリンクエクスプロイト

APKのダウンロード

1. https://apk-dl​​.com/

2. https://ja.uptodown.com/

3. https://ja.aptoide.com/

4. https://www.apkmirror.com/

5. https://f-droid.org/ja/

6. https://ja.softonic.com/

7. https://androidapksfree.com/

Windows用ツール

1. アピー

• Appie Framework は、Android アプリケーションの侵入テストに使用される人気のあるオープンソース フレームワークです。 Android アプリケーションのテストを容易にするために特別に設計された、包括的な自己完結型の環境を提供します。

異議申し立てツール使用ガイド

このリポジトリは、モバイル セキュリティ テストに Objection ツールを使用する方法に関する包括的なガイドを提供します。 Objection は、Frida を利用したランタイム モバイル探索ツールキットで、ペネトレーション テスターがジェイルブレイクや root アクセスを必要とせずにモバイル アプリケーションのセキュリティを評価できるように設計されています。

目次

• 導入

• 特徴

• インストール

• 前提条件

• 異議のインストール

• 基本的な使い方

• 異議の開始

• 共通コマンド

• 高度な使用法

• SSLピンニングのバイパス

• ファイル システムとの対話

• アプリケーションデータの操作

• トラブルシューティング

• 貢献する

• ライセンス

導入

Objection は、セキュリティ研究者が実行時にモバイル アプリケーションのセキュリティを調査およびテストできるようにする強力なツールです。 SSL ピンニングのバイパス、アプリケーション データの操作、ファイル システムの探索などのタスクに使いやすいインターフェイスを提供します。 Objection は、root や脱獄を必要とせずに Android デバイスと iOS デバイスの両方で動作するため、特に便利です。

特徴

• SSL ピン留めをバイパスする: モバイル アプリで SSL ピン留めを簡単に無効にして、ネットワーク トラフィックを傍受します。

• ファイル システムの探索: 実行時にモバイル アプリのファイル システムにアクセスして操作します。

• 実行時操作: アプリの実行中にアプリケーションの動作とデータを変更します。

• クロスプラットフォーム: Android デバイスと iOS デバイスの両方をサポートします。

インストール

前提条件

Objection をインストールする前に、システムに以下がインストールされていることを確認してください。

• Python 3.x : Objection は Python ベースのツールであり、実行するには Python 3.x が必要です。

• フリーダ: 異議申し立ては、フードの下でフリーダを使用します。 pip を使用して Frida をインストールできます。

   pip インストール frida-tools

• ADB (Android Debug Bridge) : Android デバイスと対話するために必要です。

異議のインストール

pip を使用して Objection をインストールできます。

 pip インストールに対する異議

インストール後、次のコマンドを実行して、Objection が正しくインストールされていることを確認します。

反対 -- 助けてください

基本的な使い方

異議の開始

モバイル アプリケーションで Objection の使用を開始するには、まずアプリケーションがデバイス上で実行されていることを確認します。次に、次のコマンドを使用して Objection を起動します。

異議 -g <app_package_name> 探索

<app_package_name>モバイル アプリの実際のパッケージ名 (例: com.example.app ) に置き換えます。

共通コマンド

• SSL ピン留めをバイパスする:

   Android sslpinning を無効にする

  このコマンドは SSL ピンニングを無効にし、HTTPS トラフィックを傍受できるようにします。

• ファイル システムを探索します。

  アンドロイド fs ls/

  アプリのファイル システムのルート ディレクトリ内のファイルとディレクトリを一覧表示します。

• SQLite データベースのダンプ:

  アンドロイドのsqliteリスト
  android sqlite ダンプ <データベース名>

  アプリで使用される SQLite データベースの内容を一覧表示してダンプします。

• キーチェーン/共有設定の検査:

  アンドロイドの設定リスト
  iOSキーチェーンダンプ

  Android の共有設定または iOS のキーチェーン データをリストおよびダンプします。

高度な使用法

SSLピンニングのバイパス

Objection により、モバイル アプリケーションでの SSL ピンニングを簡単にバイパスできるようになり、セキュリティ評価中に HTTPS トラフィックを傍受して分析するのに役立ちます。次のコマンドを使用するだけです。

 Android sslpinning を無効にする

ファイル システムとの対話

Objection コマンド ラインからアプリのファイル システムを直接探索して操作できます。

• ファイルのリスト:

   android fs ls /data/data/com.example.app/files/

• ファイルをダウンロードする:

   android fs ダウンロード /data/data/com.example.app/files/secret.txt

アプリケーションデータの操作

Objection を使用すると、実行時にアプリによって使用されるデータを変更できます。

• 変数の値を変更します。

   android フックセット class_variable com.example.app.ClassName variableName newValue

• 関数をトリガーする:

   android フック呼び出し com.example.app.ClassName メソッド名 arg1,arg2

トラブルシューティング

• 接続していません: デバイスが USB 経由で適切に接続されていること、および Android デバイスに対して ADB が実行されていることを確認してください。 iOS の場合は、Frida がデバイスに正しくインストールされていることを確認してください。

• SSL ピン留めが無効になっていない: 一部のアプリは、Objection のデフォルトのバイパス方法に耐える方法で SSL ピン留めを実装する場合があります。このような場合、カスタム Frida スクリプトの使用が必要になる場合があります。

Android 用のバグ発見チェックリスト

• workbook.securityboat.in

• book.hacktricks.xyz

• blog.softwaroid.com

• xmind.app

• ハッキン記事

CTFとチャレンジ

1. InsecureShopApp : https://www.insecureshopapp.com GitHub : https://github.com/hax0rgb/InsecureShop

2. オールセーフ

3. 負傷したAndroid

4. HPAndro1337

5. KGB_メッセンジャー

• Android モバイル CTF チャレンジの詳細: Awesome-Mobile-CTF

電報チャンネル

• Android-セキュリティとマルウェア

Android セキュリティ クラッシュ コース

ユーチューブ