這篇文章從去年很早就想寫，一直沒時(shí)間，剛好過段時(shí)間有沙龍是講這方面的東西，整理了下就有了下文。

[[110457]]

以往安全愛好者研究的往往是app的本地安全，比如遠(yuǎn)控、應(yīng)用破解、信息竊取等等，大多人還沒有關(guān)注到app服務(wù)端的安全問題，于是在這塊的安全漏洞非常多。

移動(dòng)app大多通過web api服務(wù)的方式跟服務(wù)端交互，這種模式把移動(dòng)安全跟web安全綁在一起。移動(dòng)app以web服務(wù)的方式跟服務(wù)端交互，服務(wù)器端也是一個(gè)展示信息的網(wǎng)站，常見的web漏洞在這也存在,比如說SQL注入、文件上傳、中間件/server漏洞等，但是由于部分app不是直接嵌入網(wǎng)頁(yè)在app中，而是使用的api接口返回josn數(shù)據(jù)，導(dǎo)致掃描器爬蟲無法爬取鏈接。

下圖是抓的糗事百科糗事列表，contet字段內(nèi)容與我無關(guān) -_-|||

那么我嘗試去找app服務(wù)端的漏洞，目前想到的兩種方法：

1.反編譯APP 
2.http[s]代理抓包

那么有人應(yīng)該會(huì)提出問題，這兩種方式拿到的鏈接都是零零散散的，也不好找漏洞啊，我這邊的利用方式是把所有抓取的鏈接直接提交任務(wù)到多引擎web漏洞掃描器，掃描器可以批量掃SQL注入等等，其實(shí)除了這些漏洞，還有很多可以利用的信息。

一、反編譯APP

有兩種反編譯方式，dex2jar和apktool，兩個(gè)工具反編譯的效果是不一樣的，dex2jar反編譯出java源代碼，apktool反編譯出來的是java匯編代碼。

1. dex2jar反編譯

工具：dex2jar+jdgui

方法：

a. 修改apk為zip擴(kuò)展名

b. 解壓出classes.dex文件

c.使用dex2jar反編譯(dex2jar.bat classes.dex)

最后反編譯出來的源碼如下圖。雖然部分類被配置proguard.cfg 混淆了，但是還是可以利用的。

2. apktool反編譯

工具：apktool

這個(gè)工具比較簡(jiǎn)單，直接(apktool d apkfile)就可以反編譯apk文件，反編譯出來的東西為smali反匯編代碼、res資源文件、assets配置文件、lib庫(kù)文件，我們可以直接搜索smali文件和資源文件來查找鏈接等。

利用app查找網(wǎng)站真實(shí)IP

除了app服務(wù)端的漏洞，還有一個(gè)比較好玩的利用方式，通過收集app里面的子域名ip來尋找目標(biāo)網(wǎng)站的真實(shí)IP，根據(jù)經(jīng)驗(yàn)，大多app的接口都沒有使用cdn等服務(wù)。

糗事百科真實(shí)IP

#p#

二、http[s]代理抓包

這個(gè)方法利用在移動(dòng)設(shè)備上設(shè)置代理，通過人工操作使app與服務(wù)端交互，

步驟：

a. 在抓包機(jī)器上開啟代理，測(cè)試可以用burp，需要自動(dòng)化提交掃描任務(wù)可以自己寫一個(gè)代理程序，移動(dòng)設(shè)備設(shè)置代理服務(wù)器。

b. 在移動(dòng)設(shè)備上操作app，代理端抓取如下。

總結(jié)：

整個(gè)思路已經(jīng)很清晰，那么其實(shí)要做的就是讓這個(gè)過程自動(dòng)化，反編譯之后有一個(gè)問題，url不一定完整，很多URL都是拼接起來的，我嘗試寫一套分析引擎，自動(dòng)化反編譯，然后通過對(duì)源碼的分析，拼接完整的api url，再進(jìn)行漏洞掃描。

下圖是一個(gè)dome，后面準(zhǔn)備用python來寫，放到服務(wù)器上。

更多的玩法大家可以自己頭腦風(fēng)暴，還有一些好玩的東西過段時(shí)間搞好了會(huì)分享出來