app渗透教程抓包突破限制

app渗透教程抓包突破限制

阿影博客/ 2023年11月18日 13:15 / 906 阅读

热爱生活，热爱互联网！阿影博客

每当遇到一些 APP 渗透测试项目的时候，抓不了包的问题令人有点难受，但是抓不了包并不能代表目标系统很安全，那么接下来我会整理一下目前我所了解到的一些抓包方法

APP正常抓包

①burp配置

②导入burp中的.cer证书

③模拟器配置

MobSF - 移动安全测试框架

https://www.oschina.net/p/mobsf?hmsr=aladdin1e1

静态分析

解析AndroidManifest.xml得到了应用程序的各类相关信息、对apk进行反编译得到java代码，而后利用正则匹配找出该app包含的API函数、URL、邮箱集帐号密码等敏感信息。

动态分析

而动态分析部分，MobSF主要利用到了Xposed框架、Droidmon实现对应用程序调用API的情况进行监控，并且详细列出了需要分析的API列表。同时，MobSF还使用了ScreenCast结合adb shell input 完成对手机的远程控制功能。动态分析主要操作有：

利用webproxy实现代理进而拦截样本流量。

安装证书以便拦截https流量。

遍历所有activity，尽量多的获取各activity运行得到的日志。

利用正则匹配出API及参数和返回值。

APP抓包限制突破

文章:https://blog.csdn.net/m0_51345235/article/details/131883033

1.反app走其他协议

通过科来分析系统可抓到其他协议的数据包

2.反模拟器检测绕过

①用真机配合抓包精灵即可抓包/如若担心数据被窃取使用VMOS Pro

②模拟器模拟真机

3.反证书检测

通过绕过反证书反代理

①安装 Xposed框架和JustMePlush激活

②激活模块

③在JustMePlush选择app即可正常抓包

4.反代理检测

①通过Proxifier流量转发绕过

②通过Postern流量转发绕过

版权说明

文章采用：《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
本站资源来自互联网收集，仅供用于学习和交流，请勿用于商业用途。如有侵权、不妥之处，请联系客服以便删除!
阿影博客网站永久地址为：https://www.aybk.cn/
本站资源大多存储在云盘，如发现链接失效，请留言评论我们会第一时间更新。
关于本站的所有留言评论与转载、引用文纯属文字原作者个人观点，与本站观点及立场无关！
本站为非经营性个人站点，会员功能仅作为用户喜欢本站自愿捐赠、打赏，仅为维持服务器

相关推荐

阿里云盘怎么获取 refresh_token ？阿里云盘获取refresh_token的方法

通杀安卓软件广告方法大全

不限次数的chatGPT食用教程

腾讯课堂最新下载教程（支持企鹅账户、vx）

发表评论

个人信息

随便看看

大家都在看

标签TAG

# 仙侠H5手游源码

# 发卡系统

# 几何王国游戏源码

# 代付五合一代付系统源码

# 修改位置信息app

# 懒熊驾考

# 喜马拉雅车机版

# SnapEdit破解版

# 抖音TV大屏版

# 多平台矩阵分发软件

# 微信语音恢复

# 手机高清壁纸

您还未登录

登录体验更多功能