Android平台渗透测试套件zANTI v2.5发布(含详细说明)

0×00 前言

zANTI是一款Android平台下的渗透测试工具,支持嗅探已连接的网络、支持中间人攻击测试、端口扫描、Cookie获取及路由安全测试等操作。

该工具是由以色列移动安全公司Zimperium开发的。此外,它能够支持一系列的网络任务:MAC变更、zther(对欺骗的手机端实现了记录请求、记录图像、zpacketEditor、SSL strip、重新导向HTTP、替代图片、获取下载、截获下载、插入HTML等一系列强大的功能。)routerpwn.com、云报告、WIF监控器、HTTP服务器等一系列使用功能。此外还提供了可用性指导,诸如教程、基本信息、设置、设置语言,重点是支[……]

MORE

MobileApp Pentest Cheatsheet —移动应用渗透测试的军火库清单

本文将针对主流移动平台(Android和iOS)的渗透测试工具按照类别整理出来,同时对每个工具进行了简短介绍并列出推荐指数,方便大家快速找到自己需要的工具,进一步提高渗透测试的工作效率。如果需要进一步了解工具的安装及其使用方法,你可以打开工具相关的链接。对于希望涉足这个领域的朋友,可以通过学习参考本文列出的工具,建立初步的认识。

一、All-in-One移动安全框架

MobSF:一款开源的智能化、集成化、自动化的移动应用(Android/iOS)渗透测试框架,可以执行静态和动态分析。(★★★★★)

 

二、A[……]

MORE

安卓动态调试七种武器之离别钩 – Hooking(上)

0x00 序

随着移动安全越来越火,各种调试工具也都层出不穷,但因为环境和需求的不同,并没有工具是万能的。另外工具是死的,人是活的,如果能搞懂工具的原理再结合上自身的经验,你也可以创造出属于自己的调试武器。因此,笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段,希望能对国内移动安全的研究起到一些催化剂的作用。

目录如下:

文章中所有提到的代码和工具都可以在我的github下载到,地址是:

0x01 离别钩

[……]

MORE

Android应用分析进阶教程之一- 初识JEBAPI

点评:来自Keen Team的天才少年flanker详解了如何利用目前最好用的Android静态分析工具JEB的API编写自定义插件的基于原理与方法,目测还有下一集,值得期待。

0x00 前言 & 背景

还在对着smali和jdgui抓耳挠腮grep来grep去吗?本系列教程将围绕Soot和JEB,讲述Android应用的进阶分析,感受鸟枪换炮的快感.

JEB是Android应用静态分析的de facto standard,除去准确的反编译结果、高容错性之外,JEB提供的API也方便了我们编写插件对源文件进行处理,实施反混淆甚至一些更高级的应用分析来方便后[……]

MORE

Facebook开源智能代码静态分析工具Infer

开源已是大势所趋。不仅Google公开了自己最重要的秘密之一,社交巨头Facebook对开放也一直都是保持开放的态度。比方说它有推进数据中心基础设施建设标准化的Open Compute项目,在软件开源方面更是活跃份子,去它网站看看就知道,大大小小的开源项目已经有30多个,涵盖了Android、iOS、Web、后端、硬件等方方面面。这一次,它又给这一个清单增加了新的成员—移动应用的人工智能查错工具Infer,无论是iOS还是Android开发者均可它用来调试自己的app了。

不要搞错,这种查错工具并不是简单纠正一下语法,而是一种代码静态分析工具。它可以在不运行代码(一般开发者的调试方式都是[……]

MORE

Google官方出品的Android App反编绎工具-enjarify

enjarify是由Google官方新出品的基于Python3开发,类似dex2jar的一个将Dalvik字节码转换成相对应的Java字节码开源工具,官方宣称有比dex2jar更优秀的兼容性,准确性及更高的效率。

Introduction

Enjarify is a tool for translating Dalvik bytecode to equivalent Java bytecode. This allows Java analysis tools to analyze Android applications.

Usage and installation

Enjarify[……]

MORE

自己动手开发Drozer插件之进阶篇

1.如何从源代码编译drozer

参照https://github.com/mwrlabs/drozer/blob/develop/INSTALLING

最好是在ubuntu或linux环境下安装好编译环境
* Java (自带或安装)
* Android Software Development Kit (google去下载sdk)
* Native Development Kit (google去下载ndk)
* Python 2.7 with development headers(自带)
* Python Setuptools(apt-get install py[……]

MORE

用手机轻松刷洞,移动端开源安全测试工具合集

随着移动互联网的迅速发展,移动安全也慢慢成为了新的热门行业,以往移动应用的安全测试大多是使用在线检测平台或者手工逆向分析,动态调试的同时配合抓包软件等PC端工具作为常用测试手段,而事实上移动端的安全测试工具也不少,有时候不仅比PC端工具更方便,而且效率与准确度也更高。
本文整理了Github上一些常用的移动端开源安全测试工具,并对每个工具做了简单的介绍。如果能够熟练使用这些工具的话,相信一部手机就能让你在任何时间任何地点轻松挖漏洞。

0x01.cSpliot
项目地址:https://github.com/AndroidSecurityTools/android
简介:继dSpli[……]

MORE

AppUse(Android测试平台)用户手册 v2-2

0x00 AppUse – 概述

From:https://appsec-labs.com/wp-content/uploads/2014/10/appuse_userguide_v2-2.pdf

AppUse (Android Pentest Platform Unified Standalone Environment)被设计用来作为安卓应用渗透测试平台。是安卓应用渗透测试人员的操作系统,包含一个自定义的安卓ROM,通过钩子加载,以便在运行时观察、操纵应用。

AppUse的核心是一个自定义的”hostile”安卓ROM,为应用程序的安全性测试特别打造的包含一个基于[……]

MORE