本文主要是介绍第十天:信息打点-APPamp;小程序篇amp;抓包封包amp;XP框架amp;反编译amp;资产提取,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
信息打点-APP&小程序
一、内在收集-代码
从app代码中去收集
1、移动端AppInfoScanner工具信息收集
安卓语法:
python app.py android -i <Your apk file>
这个是从app代码中提取信息。
有些app会限制代理抓包,需要进行解壳。
类似CDN的技术,为你选择最佳的播放路径。
这里又获取到阿里云oss
2、安卓修改大师工具
反编译:**
从反编译的代码中去搜索关键信息例如:http:
查找的结果不直观,可以通过idea进行代码搜索
二、外在收集-抓包
工具:|茶杯,fd,burp
通过数据包获取app信息
三、资源提取-安装包&资源文件
抓不到数据包,通常是apk进行了加壳操作。
查询可以通过:apk查壳工具
进行apk资源提取,常用工具:apk资源提取器,提取成功的资源可以进行fofa搜索相关信息
四、app无法抓包-Xposed & JustTrustMe 框架
(转载)Android 神器 xposed 框架使用 - 知乎 (zhihu.com)
xposed是一个框架,上面有很多模块,原理就是修改系统的关键文件,然后当APP调用系统API时,首先经过xposed
Xposed:用到这个就可以去壳,就可以进行进一步测试。绕过检测证书等进行抓包。
用到这个模块就可以忽略证书,如果单单用到fiddler或者burpsuite进行抓包,有些会检测证书,检测证书的话有些数据包就没办法抓。
五、微信-电脑版登录启动抓包分析
两个方面信息收集:web 和服务器
有些小程序其实就是APP 放到小程序里面
小程序管理后台:mituomimtm.cn/login
只能抓包,没有程序源码
小程序也是一样小程序是通过抓包,无法获取源代码# 信息打点-APP&小程序
一、内在收集-代码
从app代码中去收集
1、移动端AppInfoScanner工具信息收集
安卓语法:
python app.py android -i <Your apk file>
这个是从app代码中提取信息。
有些app会限制代理抓包,需要进行解壳。
类似CDN的技术,为你选择最佳的播放路径。
这里又获取到阿里云oss
2、安卓修改大师工具
反编译:**
从反编译的代码中去搜索关键信息例如:http:
查找的结果不直观,可以通过idea进行代码搜索
二、外在收集-抓包
工具:|茶杯,fd,burp
通过数据包获取app信息
三、资源提取-安装包&资源文件
抓不到数据包,通常是apk进行了加壳操作。
查询可以通过:apk查壳工具
进行apk资源提取,常用工具:apk资源提取器,提取成功的资源可以进行fofa搜索相关信息
四、app无法抓包-Xposed & JustTrustMe 框架
(转载)Android 神器 xposed 框架使用 - 知乎 (zhihu.com)
xposed是一个框架,上面有很多模块,原理就是修改系统的关键文件,然后当APP调用系统API时,首先经过xposed
Xposed:用到这个就可以去壳,就可以进行进一步测试。绕过检测证书等进行抓包。
用到这个模块就可以忽略证书,如果单单用到fiddler或者burpsuite进行抓包,有些会检测证书,检测证书的话有些数据包就没办法抓。
五、微信-电脑版登录启动抓包分析
两个方面信息收集:web 和服务器
有些小程序其实就是APP 放到小程序里面
小程序管理后台:mituomimtm.cn/login
只能抓包,没有程序源码
小程序也是一样小程序是通过抓包,无法获取源代码
这篇关于第十天:信息打点-APPamp;小程序篇amp;抓包封包amp;XP框架amp;反编译amp;资产提取的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!