首页 > 其他分享 >Day85 APP攻防-资产收集篇&反证书检验&XP框架&反代理VPN&数据转发&反模拟器

Day85 APP攻防-资产收集篇&反证书检验&XP框架&反代理VPN&数据转发&反模拟器

时间:2024-09-04 22:55:13浏览次数:11  
标签:证书 APP 代理 校验 Day85 XP VPN 模拟器

知识点

1、APP资产-抓包突破&反模拟器
2、APP资产-抓包突破&反证书检验
3、APP资产-抓包突破&反代理VPN

没有限制过滤的抓包问题:

1、抓不到-工具证书没配置好

2、抓不到-app走的不是http/s

不走http/s协议的数据包抓不到

可以用封包抓

有限制过滤的抓包问题

3、抓不到-反模拟器调试

4、抓不到-反代理VPN

5、抓不到-反证书检验

防护手段:

1、反模拟器:禁用模拟器进行调试访问

2、反证书检验:SSL证书绑定(单向校验和双向校验)

单项校验-客户端校验服务端的证书。

双向认证-客户端不仅仅要校验服务端的证书,

也会在app内放一张证书;服务端也会检验客户端里的证书。

3、反代理VPN:代理检测、VPN检测、发包框架强制不走代理

配置代理后无法访问,数据异常等

连接VPN节点后无法访问,数据异常等

配置代理后正常访问且无任何异常,但无数据包

xposed安装

逍遥模拟器安装xp时报错处理

在执行script.sh,无法执行程序,报错如下:

Mounting /system and /vendor read-write '/dev/block/sda6' is read-only

尝试了很多种的方法,都不行

经过研究发现是逍遥模拟器的设置问题:

出问题时,磁盘共享配置为“共享系统盘”,改成“独立系统盘”,即可解决问题

将xposed文件放到共享的音乐文件

复制到system文件夹下打开终端管理器,执行命令

sh memu-script.sh

重启

反抓包DemoAPK:

https://github.com/AndroidAppSec/vulsicon-default.png?t=N7T8https://github.com/AndroidAppSec/vuls

一、演示案例-APP-某社交-反模拟器绕过

绕过方法:

1、用真机

2、模拟器设置配置好来模拟真机

3、逆向删反代码重打包

二、演示案例-APP-本地demo-反证书检验绕过

绕过方法:

1、单向-XP框架

本地demo演示

抓到数据包了

需要证书校验抓不到数据包了

Xposed框架

请求成功了

Xposed框架安装(逍遥模拟器)

主要用来屏蔽APP的一些功能,属于hook框架技术的其中一种

三、演示案例-APP-本地demo-反代理VPN绕过

检查到

Wife设置了代理

绕过方法:

1、用APP工具设置-Postern

配置规则

抓到数据包了

2、用PC工具设置-Proxifier

标签:证书,APP,代理,校验,Day85,XP,VPN,模拟器
From: https://blog.csdn.net/m0_74402888/article/details/141874417

相关文章

  • Go - Web Application 5
    ProcessingformsWe’regoingtoaddanHTMLformforcreatingnew snippets.Theformwilllookabitlikethis:Thehigh-levelflowforprocessingthisformwillfollowastandardPost-Redirect-Get patternandwillworklikeso:1.Theuserisshownthe......
  • 手机App抓包
    手机端的最常见抓包工具有Fiddler、charles(花瓶),这款抓包工具都需要电脑端安装的工具和要抓包的手机app在同一个网络下面,然后配置,才可以抓到包。Fiddler配置安卓端抓包的Fiddler配置和iOS端抓包的Fiddler配置:可参考:https://blog.csdn.net/TalorSwfit20111208/article/details/14......
  • Charles - 夜神模拟器证书安装App抓包-charles监控手机出现unknown 已解决
    1.Openssl安装http://slproweb.com/products/Win32OpenSSL.htmlexe下载安装后进行配置 新建系统变量OPENSSL_HOME,变量值设为(绝对路径)软件安装目录下的bin直接浏览 编辑用户变量path,新建%OPENSSL_HOME%,最后点击确定 查看openssl版本,输入命令:opensslversion  2......
  • fhuxpresentation.dll文件丢失导致程序无法运行问题
    其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个fhuxpresentation.dll文件(挑选合适的版本文......
  • Go - Web Application 4
    HowmiddlewareworksInfact,we’reactuallyalreadyusingsomemiddlewareinourapplication—the http.StripPrefix()functionfromservingstaticfiles,whichremovesaspecificprefixfrom therequest’sURLpathbeforepassingtherequestontothefi......
  • 升级程序后报错 :Parse error: syntax error, unexpected ':', expecting
    当您看到类似“Parseerror:syntaxerror,unexpected':',expecting...”这样的错误时,这通常是因为PHP代码中存在语法错误。具体来说,这通常是因为某个语法特性在当前PHP版本中不被支持。常见原因PHP版本不兼容:新代码可能使用了较新版本的PHP语法特性,而当前服务器上......
  • uniapp js 数独小游戏 写死的简单数独demo(优化完成) 数独 4.0
    <template> <viewclass="wrap">  <viewclass="timeGame">   <textclass="time">时间{{gameTime}}</text>  </view>  <viewclass="listWrap">   <view    ......
  • 2024-09-04:用go语言,给定一个长度为n的数组 happiness,表示每个孩子的幸福值,以及一个正
    2024-09-04:用go语言,给定一个长度为n的数组happiness,表示每个孩子的幸福值,以及一个正整数k,我们需要从这n个孩子中选出k个孩子。在筛选过程中,每轮选择一个孩子时,所有尚未选中的孩子的幸福值都会减少1。需要注意的是,幸福值不能降低到负数,只有在其为正数时才能减少。我们的目标是......
  • 从0到1落地微前端架构:‌MicroApp实战招聘网站
    从0到1落地微前端架构:‌MicroApp实战招聘网站随着前端技术的快速发展和复杂化,‌微前端架构作为一种新兴的前端架构模式,‌正在逐渐受到开发者的关注和应用。‌本文将详细介绍如何从零开始,‌利用微前端架构和MicroApp技术实战开发一个招聘网站,‌并分析其设计思路、‌实施步骤及优势......
  • uniapp 在APP端下载保存图片到根目录下文件夹内
    checkImageExist(){   uni.showLoading({       mask:true,   })   leturl='图片地址'   uni.getImageInfo({       src:url,       complete:function(image){           if(image.errMsg=='getImageInfo:ok'){......