上期回顾我们用 GraphQL 把 API 的底裤都扒光了。本期换个阵地——移动端。别以为 APP 比网页安全很多 APP 的防护等级约等于用报纸糊的防盗门。一、APP 逆向给“黑盒”开天眼1. 脱壳撕开 APP 的第一层皮很多 APP 为了防止被分析会使用加固壳。常见壳梆梆、360、爱加密。脱壳思路内存 dumpAPP 运行起来后在内存里把 dex 抠出来。工具Frida frida-dexdump。实战场景你拿到一个银行 APP想看看登录逻辑。结果打开是加密的。脱壳后你看到了明文的 Java 代码找到了加密密钥。2. 反编译读懂程序员的“心里话”工具jadx-gui(神器直接拖进去就能看源码)。找什么硬编码密钥String secretKey 123456;(低级错误但极常见)。测试接口https://test-api.bank.com(测试环境通常无防护)。Logcat 日志程序员为了调试把token、password打印在了日志里。二、HTTPS 抓包绕过证书锁定SSL Pinning这是新手挖 APP 漏洞最大的拦路虎“网络异常请检查网络设置”。1. 为什么会抓不到包APP 内置了证书锁定SSL Pinning。它不相信你的电脑Burp/Charles颁发的假证书只相信服务器真正的证书。2. 绕过姿势Android 篇方法操作难度成功率JustTrustMe低 (Xposed模块)60%Frida Hook中 (脚本注入)95%Objection低 (一行命令)90%Frida 大杀器# 一行命令绕过大多数 SSL Pinning objection -g com.example.app explore --startup-command android sslpinning disable结果APP 乖乖地把 HTTPS 流量送到了你的 Burp Suite 里。3. iOS 篇工具iossslkill(Frida 脚本)。操作注入进程干掉证书校验函数。三、Deep Link 劫持拦截“神秘链接”1. 什么是 Deep LinkAPP 注册的自定义协议。比如weixin://dl/moments能直接打开朋友圈。2. 漏洞原理如果 APP 没有校验 Deep Link 的来源恶意网页可以偷偷调用 APP 的功能。Payload!-- 恶意网页 -- a hrefbank://transfer?tohackermoney10000点击领红包/a结果用户点击网页链接自动打开银行 APP 并执行转账如果 APP 没做二次确认。四、WebView 远程代码执行APP 里的“核弹”这是 Android 历史上的经典漏洞CVE-2012-6636。1. 漏洞原理APP 使用了 WebView 加载网页并且开启了addJavascriptInterface。这相当于在网页和 APP 之间开了一扇门网页里的 JS 可以直接调用 APP 的 Java 代码。2. 实战案例Java 代码webView.addJavascriptInterface(new Object(), JsBridge);JS 攻击代码script // 调用系统命令 JsBridge.getClass().forName(java.lang.Runtime).getMethod(exec).invoke(null, id); /script结果JS 代码在 APP 里执行了系统命令直接控制手机。3. 现在的玩法现在直接 RCE 很难了更多是文件窃取。利用file://协议读取../databases/user.db(数据库文件)窃取用户登录信息。五、SRC 实战从抓包到高危抓包绕过 SSL Pinning抓取 APP 登录包。分析发现请求参数里有sign签名但签名算法写在了libnative.so (Native层)。逆向用 IDA Pro 打开 so 文件找到签名算法其实就是 MD5(password salt)。利用构造请求暴力破解 4 位验证码因为没有次数限制。报告提交“任意账号密码暴力破解”评级高危。六、互动与思考 互动话题各位安卓老司机你们现在抓包都用 Frida 还是 Xposed有没有遇到过那种“加了壳还把密钥写在注释里”的神仙开发⚠️ 法律红线警示严禁对他人的手机 APP 进行逆向分析除非是官方发布的测试版或开源软件。严禁利用 Deep Link 或 WebView 漏洞攻击真实用户窃取其隐私数据。严禁分发或使用脱壳工具对商业 APP 进行破解、盗版或篡改。测试原则仅对自己拥有的设备、自己安装的 APP 进行测试。不要尝试破解支付、登录等核心逻辑。发现漏洞后不要下载用户数据库证明逻辑存在即可。移动端安全关乎每一个用户的隐私请做一名守护者而非掠夺者。 ️下一期我们将进入“OA系统与通用CMS”—— 打点拿权限的传统艺能”。想知道怎么用泛微 OA 一键 Getshell 吗敬请期待
