Download Android Pentesting - Download do código-fonte Android Pentesting

Android Pentesting

Outro código-fonte

Baixar

Pentesting de aplicativos Android

Desenvolvimento Android

Para iniciantes

Arquitetura Android
Pentesting de introdução ao celular

Vídeos do Youtube em inglês:

BitsPor favor
Alunos internos
Hacking simplificado

Vídeos do Youtube em hindi:

Fortificar Soluções
Ubaid Ahmed

Livros em PDF

Android Security Internals Um guia detalhado para a arquitetura de segurança do Android
Aprendendo Pentesting para dispositivos Android Um guia prático
Ataques e defesas de segurança do Android

Ignorar fixação SSL do Android

Ignorar fixação SSL do Android

Como encontrar bug no aplicativo Android

Testando-Frida
Teste-Drozer
ADB-Command-Cheatsheet
Análise automatizada usando MobSF
Teste de ataques de webview
Exploração de Deep Link

Baixar APK

https://apk-dl.com/
https://en.uptodown.com/
https://en.aptoide.com/
https://www.apkmirror.com/
https://f-droid.org/en/
https://en.softonic.com/
https://androidapksfree.com/

Ferramenta para Windows

Appie

Appie Framework é uma estrutura popular de código aberto usada para testes de penetração de aplicativos Android. Ele fornece um ambiente abrangente e independente projetado especificamente para facilitar o teste de aplicativos Android

Guia de uso da ferramenta de objeção

Este repositório fornece um guia abrangente sobre como usar a ferramenta Objection para testes de segurança móvel. Objection é um kit de ferramentas de exploração móvel em tempo de execução, desenvolvido pela Frida, projetado para ajudar os testadores de penetração a avaliar a segurança de aplicativos móveis sem exigir jailbreak ou acesso root.

Índice

Introdução
Características
Instalação

Pré-requisitos
Instalando Objeção

Uso Básico

Objeção Inicial
Comandos Comuns

Uso Avançado

Ignorando a fixação SSL
Interagindo com o sistema de arquivos
Manipulação de dados de aplicativos

Solução de problemas
Contribuindo
Licença

Introdução

Objection é uma ferramenta poderosa que permite aos pesquisadores de segurança explorar e testar a segurança de aplicativos móveis em tempo de execução. Ele fornece uma interface fácil de usar para tarefas como ignorar a fixação de SSL, manipular dados de aplicativos, explorar o sistema de arquivos e muito mais. A objeção é particularmente útil porque funciona em dispositivos Android e iOS sem a necessidade de root ou jailbreak.

Características

Ignorar fixação de SSL : desative facilmente a fixação de SSL em aplicativos móveis para interceptar o tráfego de rede.
Exploração do sistema de arquivos : acesse e manipule o sistema de arquivos do aplicativo móvel em tempo de execução.
Manipulação de tempo de execução : modifique o comportamento e os dados do aplicativo enquanto ele está em execução.
Plataforma cruzada : suporta dispositivos Android e iOS.

Instalação

Pré-requisitos

Antes de instalar o Objection, certifique-se de ter o seguinte instalado em seu sistema:

Python 3.x : Objection é uma ferramenta baseada em Python e requer Python 3.x para ser executada.
Frida : A objeção usa Frida nos bastidores. Você pode instalar o Frida usando pip:
```
 pip instalar ferramentas frida
```
ADB (Android Debug Bridge) : necessário para interagir com dispositivos Android.

Instalando Objeção

Você pode instalar o Objection usando pip:

 objeção de instalação do pip

Após a instalação, verifique se o Objection está instalado corretamente executando:

 objeção --ajuda

Uso Básico

Objeção Inicial

Para começar a usar o Objection com um aplicativo móvel, primeiro certifique-se de que o aplicativo esteja sendo executado no dispositivo. Em seguida, inicie Objection usando o seguinte comando:

 objeção -g <app_package_name> explorar

Substitua <app_package_name> pelo nome real do pacote do aplicativo móvel (por exemplo, com.example.app ).

Comandos Comuns

Ignorar fixação SSL :
```
 desabilitar SSLpinning do Android
```
Este comando desativa a fixação SSL, permitindo interceptar o tráfego HTTPS.
Explore o sistema de arquivos :
```
 android fs ls/
```
Lista os arquivos e diretórios no diretório raiz do sistema de arquivos do aplicativo.
Despejando bancos de dados SQLite :
```
 lista sqlite android
despejo android sqlite <nome_do_banco_de_dados>
```
Lista e despeja o conteúdo dos bancos de dados SQLite usados pelo aplicativo.
Inspecionando as preferências de chaveiro/compartilhadas :
```
 lista de preferências do Android
despejo de chaveiro ios
```
Lista e despeja preferências compartilhadas no Android ou dados de chaves no iOS.

Uso Avançado

Ignorando a fixação SSL

A objeção facilita o desvio da fixação SSL em aplicativos móveis, o que é útil para interceptar e analisar o tráfego HTTPS durante avaliações de segurança. Basta usar o seguinte comando:

 desabilitar SSLpinning do Android

Interagindo com o sistema de arquivos

Você pode explorar e manipular o sistema de arquivos do aplicativo diretamente na linha de comando Objection:

Listar arquivos :

 android fs ls /data/data/com.example.app/files/

Baixe um arquivo :

 baixar android fs /data/data/com.example.app/files/secret.txt

Manipulação de dados de aplicativos

Objeção permite modificar os dados usados pelo aplicativo em tempo de execução:

Altere o valor de uma variável :

 conjunto de ganchos android class_variable com.example.app.ClassName variableName newValue

Acione uma função :

 chamada de gancho do Android com.example.app.ClassName methodName arg1,arg2

Solução de problemas

Objeção, não conexão : certifique-se de que seu dispositivo esteja conectado corretamente via USB e que o ADB esteja em execução para dispositivos Android. Para iOS, certifique-se de que o Frida esteja instalado corretamente no dispositivo.
Fixação SSL não desativada : alguns aplicativos podem implementar a fixação SSL de maneiras resistentes ao método de desvio padrão da Objeção. Nesses casos, pode ser necessário usar scripts Frida personalizados.