在本系列文章中使用InsecureBankv2这个包含漏洞的Android应用程序,我们可以理解Android应用程序安全的各种概念。我们将从新手的角度看待每一个问题。因此,我建议新手朋友关注下一系列文章。
因为教程是从零开始的,前面的东西难免会比较基础,请先飞老鸟。
搭建移动渗透平台
在测试Android应用需要建立一个合适的移动渗透平台。
首先,我们需要下载Eclipse ADT bundle,并安装。这里我就不再重复太多轮子了。
有两个文件夹,一个叫 tools,另一个叫platform-tools。这俩是非常重要的,是需要加入环境变量里面的。以下命令可以用来添加路径到环境变量中
export PATH=/path/to/dir:$PATH.
将tools和platform-tools将文件夹添加到环境变量中。操作完成后,您可以随意使用所有命令。然后检查是否工作。您可以键入adb您可以获得以下输出结果。
为了确保应用程序能够在我们的计算机上运行,我们还需要一个模拟器。Eclipse Android Virtual Device是安卓模拟器,朋友可以在网上搜索如何创建虚拟设备。然而,对于这一系列文章,我将使用另一个工具Genymotion 创建虚拟设备的原因有很多,一是处理速度快,二是使用Genymotion默认创建的虚拟设备是自动获取的root权限。这意味着您可以自由安装应用程序,方便审计安卓应用程序。
完成Genymotion安装后,您需要注册帐户(免费),并根据您的需要创建不同的模拟器。
现在我们就来了InsecureBankv2的源代码从github克隆过来。
打开你创建的虚拟设备很简单。
在刚才从github克隆项目文件中有一个apk文件。你可以用adb install InsecureBankv2.apk 命令安装此应用程序。
你可以在上图中看到success,这意味着这个apk文件已经成功安装,您可以在模拟设备中看到相应的应用程序图标。但有时你可能只是想编译文件,而不是运行它apk此时需要打开文件。Eclipse找到 File -> Switch Workspace,选择你创造的 Insecurebank然后转到文件夹File -> Import并选择现有的Android将代码放入工作区。
选择应用程序所在的文件夹,你可以看到Eclipse将应用程序放入您的工作区。
此时,您可以点击上端play按钮,开始操作此应用程序。选择安卓应用程序,以确保模拟器的正常运行。
此时,您可以看到应用程序在模拟器中成功运行。
同时启动后端python该命令可用于服务
python app.py –port 8888
填入此应用ip地址以及端口。
现在您可以使用默认凭证登录此应用程序。
dinesh/Dinesh@123$jack/Jack@123$请确保您在我们未来讨论的细节中安装了以下工具。
DrozerAndbugIntrospydex2jarapktool另外,可以使用adb shell连接你的模拟器,看看你想做什么。
安卓命令集合
希望业余时间多看看安卓命令。[http://developer.android.com/tools/projects/projects-cmdline.html]。
我真诚地推荐你在这里了解更多adb[http://developer.android.com/tools/help/adb.html]试着玩大部分命令。
下节预告
在下一篇文章中,我们将了解下一篇文章InsecureBankv2对安卓应用的安全性有更详细的了解。
InsecureBankv2项目地址:https://github.com/dineshshetty/Android-InsecureBankv2
Eclipse ADT bundle:https://developer.android.com/sdk/installing/index.html?pkg=adt
译者鸢尾注:本文原作者已完成iOS安全专题。基于其完成度,鸢尾愿意跟随作者的步伐,一步一步地从零开始。