原創(chuàng)： luc1fer 合天智匯

作為一個(gè)滲透測(cè)試小白，本文的目的是希望能為那些和我一樣的小白提供一些測(cè)試思路。
涉及的內(nèi)容可能比較基礎(chǔ)，表哥們見諒。
APK 解包
拿到 apk 之后直接用 7-Zip 解壓可以得到幾個(gè)文件夾、一個(gè) AndroidManifest.xml 文件、一個(gè)dex文件。使用 dex2jar https://sourceforge.net/projects/dex2jar/ 將這個(gè)dex文件解壓會(huì)生成一個(gè)jar文件，然后使用jd-gui就可以查看java源代碼了。
當(dāng)然可以從源碼里找代碼的漏洞，但是一般會(huì)有混淆，在這也不做深入討論。
上邊提到的 xml 文件一定不能發(fā)放過(guò)，里邊涉及到許多重要的配置項(xiàng)，比如：
- AndroidManifest.xml文件中android:debuggable為true。app 可被任意調(diào)試
- AndroidManifest.xml文件中android: allowBackup為true。app 數(shù)據(jù)可以被備份導(dǎo)出。
- 等等...
還有一點(diǎn)在實(shí)際測(cè)試過(guò)程中可能會(huì)用到：在對(duì) apk 解壓之后可以嘗試在 powershell 里邊搜一下 db 文件，說(shuō)不定有敏感信息(為什么這么說(shuō)，因?yàn)槲遗龅竭^(guò)一次...)

for /r F:\source-code %i in (*.db) do echo %i

大家有興趣的話可以上合天網(wǎng)安實(shí)驗(yàn)室做相關(guān)的實(shí)驗(yàn)，推薦實(shí)驗(yàn)：

apk安全分析檢測(cè)：

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014112814012900001

（通過(guò)實(shí)驗(yàn)學(xué)習(xí)如何運(yùn)行apk安全分析檢測(cè)程序，對(duì)apk進(jìn)行安全分析檢測(cè)，通過(guò)分析發(fā)現(xiàn)其中的潛在威脅。）

登陸頁(yè)面
用戶名可枚舉
輸入用戶名之后響應(yīng)用戶名不存在，這就是最簡(jiǎn)單的枚舉用戶名的情形了。
這次碰到的是登陸不需要密碼，但是要輸入已經(jīng)注冊(cè)過(guò)的用戶名，之后會(huì)根據(jù)用戶名發(fā)送驗(yàn)證碼到對(duì)應(yīng)手機(jī)，同時(shí)設(shè)置了 120s 內(nèi)不能重新發(fā)送，并且驗(yàn)證碼 120s 內(nèi)有效。
這時(shí)候看起來(lái)我們沒(méi)辦法通過(guò)驗(yàn)證碼做什么事，但是在實(shí)際測(cè)試過(guò)程中發(fā)現(xiàn)
1. 當(dāng)我們輸入存在的賬號(hào)之后提示發(fā)送成功；
2. 重復(fù)發(fā)送，會(huì)響應(yīng) 120s 內(nèi)不能重復(fù)發(fā)送；
3. 輸入不存在用戶會(huì)提示發(fā)送失敗。
所以這個(gè)時(shí)間限制對(duì)用戶名枚舉其實(shí)沒(méi)什么影響，我們可以通過(guò)爆破用戶名根據(jù)返回的信息來(lái)查看用戶名是否存在。

等等，既然咱都不知道手機(jī)號(hào)，也不讓輸密碼登陸，就算得到用戶名生成社工字典也沒(méi)法用啊，那拿到了用戶名有什么用？
當(dāng)然有用，不過(guò)要看具體場(chǎng)景，比如下面這個(gè)案例
任意驗(yàn)證碼繞過(guò)
當(dāng)我們登陸時(shí)服務(wù)端給賬號(hào)綁定的手機(jī)號(hào)發(fā)送短信驗(yàn)證碼，我們輸入一個(gè)上一步得到的賬號(hào)，驗(yàn)證碼隨便輸，點(diǎn)擊登陸后抓包，登陸失敗，發(fā)現(xiàn)響應(yīng)中有兩個(gè) code 字段

改改試試：

It works!

驗(yàn)證碼繞過(guò)漏洞：

http://www.hetianlab.com/expc.do?ec=ECIDee9320adea6e062017120716481900001

（掌握常見的驗(yàn)證碼繞過(guò)漏洞原理,以及繞過(guò)方式利用和漏洞防護(hù)）

功能頁(yè)面
成功登錄之后，各個(gè)功能都點(diǎn)點(diǎn)看看，在個(gè)人信息頁(yè)面有一個(gè)查詢實(shí)時(shí)在線人數(shù)功能，那一欄只顯示了人數(shù)，旁邊并沒(méi)有箭頭

我一度以為那里不能點(diǎn)擊(事實(shí)上因?yàn)閿?shù)據(jù)量太大，加載了好長(zhǎng)時(shí)間，我直接點(diǎn)返回了，給我的感覺(jué)就是這里沒(méi)有東西)，進(jìn)去之后就可以看到所有登陸人員的信息了。

在我嘗試了不同用戶之后，發(fā)現(xiàn)這里的用戶信息并沒(méi)有權(quán)限限制，也就是說(shuō)對(duì)所有人都是可見的，明顯的權(quán)限配置不當(dāng)。
除此之外，應(yīng)用存在幾處查詢功能，通過(guò)BURP 看到返回的數(shù)據(jù)包都是 JSON 類型

因?yàn)闆](méi)什么經(jīng)驗(yàn)，所以就多嘗試嗎，在 json 那里注入，xxe 都來(lái)一遍，沒(méi)啥用。
前面還有一個(gè)參數(shù)，試試？

有戲！

試試 xss 吧

放到瀏覽器成功彈窗！

XSS跨站腳本攻擊原理與實(shí)踐：

http://www.hetianlab.com/expc.do?ec=ECIDee9320adea6e062017112120313800001

（本實(shí)驗(yàn)將詳細(xì)介紹XSS攻擊的原理）

總結(jié)
平時(shí)做測(cè)試還是要細(xì)心，多總結(jié)，每一個(gè)能輸入的地方都不能放過(guò)，多試試總是好的。

聲明：作者初衷用于分享與普及網(wǎng)絡(luò)知識(shí)，若讀者因此作出任何危害網(wǎng)絡(luò)安全行為后果自負(fù)，與合天智匯及原作者無(wú)關(guān)。

推薦閱讀：蘋果7和7p哪個(gè)更實(shí)用