app渗透教程抓包突破限制

阿影博客网/ 2023年11月18日 13:15 / 10556 阅读

热爱生活，热爱互联网！阿影博客

每当遇到一些 APP 渗透测试项目的时候，抓不了包的问题令人有点难受，但是抓不了包并不能代表目标系统很安全，那么接下来我会整理一下目前我所了解到的一些抓包方法

APP正常抓包

①burp配置

②导入burp中的.cer证书

③模拟器配置

MobSF - 移动安全测试框架

https://www.oschina.net/p/mobsf?hmsr=aladdin1e1

静态分析

解析AndroidManifest.xml得到了应用程序的各类相关信息、对apk进行反编译得到java代码，而后利用正则匹配找出该app包含的API函数、URL、邮箱集帐号密码等敏感信息。

动态分析

而动态分析部分，MobSF主要利用到了Xposed框架、Droidmon实现对应用程序调用API的情况进行监控，并且详细列出了需要分析的API列表。同时，MobSF还使用了ScreenCast结合adb shell input 完成对手机的远程控制功能。动态分析主要操作有：

利用webproxy实现代理进而拦截样本流量。

安装证书以便拦截https流量。

遍历所有activity，尽量多的获取各activity运行得到的日志。

利用正则匹配出API及参数和返回值。

APP抓包限制突破

文章:https://blog.csdn.net/m0_51345235/article/details/131883033

1.反app走其他协议

通过科来分析系统可抓到其他协议的数据包

2.反模拟器检测绕过

①用真机配合抓包精灵即可抓包/如若担心数据被窃取使用VMOS Pro

②模拟器模拟真机

3.反证书检测

通过绕过反证书反代理

①安装 Xposed框架和JustMePlush激活

②激活模块

③在JustMePlush选择app即可正常抓包

4.反代理检测

①通过Proxifier流量转发绕过

②通过Postern流量转发绕过

🚨如当前文章或资源存在一些违规，麻烦友友们点击此链接进行举报，站长会第一时间进行处理，非常感谢！

隐藏内容

附件需要登录后就可下载！

免费声明

本网站的文章内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长QQ:304906607进行删除处理。
文章采用：《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)。
本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。
本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
本站永久网址：https://www.aybk.cn

app渗透教程抓包突破限制

免费声明

相关推荐

揭秘高转化引流策略：让你的品牌曝光率提升300%

Zibll子比主题评论区显示IP地址设置教程

微信来了多条新信息都没有提醒，只有打开微信才能收到？这是哪里出了问题？

QQ举报网站变红教程

发表评论

个人信息

立即签到

随便看看

大家都在看

热门标签