第十天:信息打点-APPamp;小程序篇amp;抓包封包amp;XP框架amp;反编译amp;资产提取

本文主要是介绍第十天:信息打点-APPamp;小程序篇amp;抓包封包amp;XP框架amp;反编译amp;资产提取,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

信息打点-APP&小程序

image-20231211162833521

image-20231211162852973

一、内在收集-代码

从app代码中去收集

1、移动端AppInfoScanner工具信息收集

安卓语法:

python app.py android -i <Your apk file>  

image-20231211224621452

这个是从app代码中提取信息。

有些app会限制代理抓包,需要进行解壳。

类似CDN的技术,为你选择最佳的播放路径。

image-20231229154314525

这里又获取到阿里云oss

image-20240101165523300

2、安卓修改大师工具

image-20240101165827080

反编译:image-20240101170707898**

从反编译的代码中去搜索关键信息例如:http:

image-20240101170826324

查找的结果不直观,可以通过idea进行代码搜索

image-20240101170935953

二、外在收集-抓包

工具:|茶杯,fd,burp

通过数据包获取app信息

image-20240106162003303

三、资源提取-安装包&资源文件

抓不到数据包,通常是apk进行了加壳操作。

查询可以通过:apk查壳工具

image-20240106163854422

进行apk资源提取,常用工具:apk资源提取器,提取成功的资源可以进行fofa搜索相关信息

image-20240106163043664

image-20240106163241439

四、app无法抓包-Xposed & JustTrustMe 框架

(转载)Android 神器 xposed 框架使用 - 知乎 (zhihu.com)

xposed是一个框架,上面有很多模块,原理就是修改系统的关键文件,然后当APP调用系统API时,首先经过xposed

Xposed:用到这个就可以去壳,就可以进行进一步测试。绕过检测证书等进行抓包。
用到这个模块就可以忽略证书,如果单单用到fiddler或者burpsuite进行抓包,有些会检测证书,检测证书的话有些数据包就没办法抓。

五、微信-电脑版登录启动抓包分析

两个方面信息收集:web 和服务器
有些小程序其实就是APP 放到小程序里面
小程序管理后台:mituomimtm.cn/login
只能抓包,没有程序源码

小程序也是一样小程序是通过抓包,无法获取源代码# 信息打点-APP&小程序

image-20231211162833521

image-20231211162852973

一、内在收集-代码

从app代码中去收集

1、移动端AppInfoScanner工具信息收集

安卓语法:

python app.py android -i <Your apk file>  

image-20231211224621452

这个是从app代码中提取信息。

有些app会限制代理抓包,需要进行解壳。

类似CDN的技术,为你选择最佳的播放路径。

image-20231229154314525

这里又获取到阿里云oss

image-20240101165523300

2、安卓修改大师工具

image-20240101165827080

反编译:image-20240101170707898**

从反编译的代码中去搜索关键信息例如:http:

image-20240101170826324

查找的结果不直观,可以通过idea进行代码搜索

image-20240101170935953

二、外在收集-抓包

工具:|茶杯,fd,burp

通过数据包获取app信息

image-20240106162003303

三、资源提取-安装包&资源文件

抓不到数据包,通常是apk进行了加壳操作。

查询可以通过:apk查壳工具

image-20240106163854422

进行apk资源提取,常用工具:apk资源提取器,提取成功的资源可以进行fofa搜索相关信息

image-20240106163043664

image-20240106163241439

四、app无法抓包-Xposed & JustTrustMe 框架

(转载)Android 神器 xposed 框架使用 - 知乎 (zhihu.com)

xposed是一个框架,上面有很多模块,原理就是修改系统的关键文件,然后当APP调用系统API时,首先经过xposed

Xposed:用到这个就可以去壳,就可以进行进一步测试。绕过检测证书等进行抓包。
用到这个模块就可以忽略证书,如果单单用到fiddler或者burpsuite进行抓包,有些会检测证书,检测证书的话有些数据包就没办法抓。

五、微信-电脑版登录启动抓包分析

两个方面信息收集:web 和服务器
有些小程序其实就是APP 放到小程序里面
小程序管理后台:mituomimtm.cn/login
只能抓包,没有程序源码

小程序也是一样小程序是通过抓包,无法获取源代码

这篇关于第十天:信息打点-APPamp;小程序篇amp;抓包封包amp;XP框架amp;反编译amp;资产提取的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/579877

相关文章

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听

业务中14个需要进行A/B测试的时刻[信息图]

在本指南中,我们将全面了解有关 A/B测试 的所有内容。 我们将介绍不同类型的A/B测试,如何有效地规划和启动测试,如何评估测试是否成功,您应该关注哪些指标,多年来我们发现的常见错误等等。 什么是A/B测试? A/B测试(有时称为“分割测试”)是一种实验类型,其中您创建两种或多种内容变体——如登录页面、电子邮件或广告——并将它们显示给不同的受众群体,以查看哪一种效果最好。 本质上,A/B测

【北交大信息所AI-Max2】使用方法

BJTU信息所集群AI_MAX2使用方法 使用的前提是预约到相应的算力卡,拥有登录权限的账号密码,一般为导师组共用一个。 有浏览器、ssh工具就可以。 1.新建集群Terminal 浏览器登陆10.126.62.75 (如果是1集群把75改成66) 交互式开发 执行器选Terminal 密码随便设一个(需记住) 工作空间:私有数据、全部文件 加速器选GeForce_RTX_2080_Ti

cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个?

跨平台系列 cross-plateform 跨平台应用程序-01-概览 cross-plateform 跨平台应用程序-02-有哪些主流技术栈? cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个? cross-plateform 跨平台应用程序-04-React Native 介绍 cross-plateform 跨平台应用程序-05-Flutte

Spring框架5 - 容器的扩展功能 (ApplicationContext)

private static ApplicationContext applicationContext;static {applicationContext = new ClassPathXmlApplicationContext("bean.xml");} BeanFactory的功能扩展类ApplicationContext进行深度的分析。ApplicationConext与 BeanF

EMLOG程序单页友链和标签增加美化

单页友联效果图: 标签页面效果图: 源码介绍 EMLOG单页友情链接和TAG标签,友链单页文件代码main{width: 58%;是设置宽度 自己把设置成与您的网站宽度一样,如果自适应就填写100%,TAG文件不用修改 安装方法:把Links.php和tag.php上传到网站根目录即可,访问 域名/Links.php、域名/tag.php 所有模板适用,代码就不粘贴出来,已经打

跨系统环境下LabVIEW程序稳定运行

在LabVIEW开发中,不同电脑的配置和操作系统(如Win11与Win7)可能对程序的稳定运行产生影响。为了确保程序在不同平台上都能正常且稳定运行,需要从兼容性、驱动、以及性能优化等多个方面入手。本文将详细介绍如何在不同系统环境下,使LabVIEW开发的程序保持稳定运行的有效策略。 LabVIEW版本兼容性 LabVIEW各版本对不同操作系统的支持存在差异。因此,在开发程序时,尽量使用

数据治理框架-ISO数据治理标准

引言 "数据治理"并不是一个新的概念,国内外有很多组织专注于数据治理理论和实践的研究。目前国际上,主要的数据治理框架有ISO数据治理标准、GDI数据治理框架、DAMA数据治理管理框架等。 ISO数据治理标准 改标准阐述了数据治理的标准、基本原则和数据治理模型,是一套完整的数据治理方法论。 ISO/IEC 38505标准的数据治理方法论的核心内容如下: 数据治理的目标:促进组织高效、合理地

CSP 2023 提高级第一轮 CSP-S 2023初试题 完善程序第二题解析 未完

一、题目阅读 (最大值之和)给定整数序列 a0,⋯,an−1,求该序列所有非空连续子序列的最大值之和。上述参数满足 1≤n≤105 和 1≤ai≤108。 一个序列的非空连续子序列可以用两个下标 ll 和 rr(其中0≤l≤r<n0≤l≤r<n)表示,对应的序列为 al,al+1,⋯,ar​。两个非空连续子序列不同,当且仅当下标不同。 例如,当原序列为 [1,2,1,2] 时,要计算子序列 [

ZooKeeper 中的 Curator 框架解析

Apache ZooKeeper 是一个为分布式应用提供一致性服务的软件。它提供了诸如配置管理、分布式同步、组服务等功能。在使用 ZooKeeper 时,Curator 是一个非常流行的客户端库,它简化了 ZooKeeper 的使用,提供了高级的抽象和丰富的工具。本文将详细介绍 Curator 框架,包括它的设计哲学、核心组件以及如何使用 Curator 来简化 ZooKeeper 的操作。 1