信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试
#知识点: 1、业务资产-应用类型分类 2、Web单域名获取-接口查询 3、Web子域名获取-解析枚举 4、Web架构资产-平台指纹识别 ------------------------------------ 1、开源-CMS指纹识别源码获取方式 2、闭源-习惯&配置&特性等获取方式 3、闭源-托管资产平台资源搜索监控 ------------------------------------ 1、JS前端架构-识别&分析 2、JS前端架构-开发框架分析 3、JS前端架构-打包器分析 4、JS前端架构-提取&FUZZ 解决: 1、如何从表现中的JS提取价值信息 2、如何从地址中FUZZ提取未知的JS文件 3、如何从JS开放框架WebPack进行测试 ------------------------------------ 1、端口扫描-应用&协议 2、WAF识别-分类&识别 3、蜜罐识别-分类&识别 解决: 1、Web服务器&应用服务器差异性 2、WAF防火墙&安全防护&识别技术 3、蜜罐平台&安全防护&识别技术 ------------------------------------ 1、CDN服务-解释差异识别 2、CDN绕过-配置差异导致 3、CDN绕过-主动连接获取 4、CDN绕过-全网扫描获取 解决: 1、CDN服务对安全影响 2、CDN服务绕过识别手法 ------------------------------------ 1、CMS指纹识别-不出网程序识别 2、开发框架识别-PHP&Python&Java 3、开发组件识别-Java常见安全漏洞组件 解决: 1、CMS识别到后期漏洞利用和代码审计 2、开发框架识别到后期漏洞利用和代码审计 3、开发组件识别到后期漏洞利用和代码审计 ------------------------------------ 1、Web&备案信息&单位名称中发现APP 2、APP资产静态提取&动态抓包&动态调试 解决: 1、如何获取到目标APP信息 2、如何从APP信息中提取资产 #章节点 Web:语言/CMS/中间件/数据库/系统/WAF等 系统:操作系统/端口服务/网络环境/防火墙等 应用:APP对象/API接口/微信小程序/PC应用等 架构:CDN/前后端/云应用/站库分离/OSS资源等 技术:JS爬虫/敏感扫描/端口扫描/源码获取/接口泄漏等 技术:指纹识别/Github监控/CDN绕过/WAF识别/蜜罐识别等 #补充: CMS Discuz、WordPress、Ecshop、蝉知等 前端技术 HTML5、jquery、bootstrap、Vue等 开发语言 PHP、JAVA、Ruby、Python、C#,JS等 Web服务器 Apache、Nginx、IIS、lighttpd等 应用服务器: Tomcat、Jboss、Weblogic、Websphere等 数据库类型: Mysql、SqlServer、Oracle、Redis、MongoDB等 操作系统信息 Linux、windows等 应用服务信息: FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等 CDN信息 帝联、Cloudflare、网宿、七牛云、阿里云等 WAF信息 创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。 蜜罐信息: HFish、TeaPot、T-Pot、Glastopf等 其他组件信息 fastjson、shiro、log4j、OA办公等 |
演示案例:
- APP资产-Web&备案信息&单位名称发[1] [2] 现
- APP资产-静态提取&动态抓包&动态调试
案例1:名称获取APP信息(爱企查/小蓝本/七麦/点点) 1、爱企查知识产权 2、七麦&点点查名称 https://www.xiaolanben.com/ https://aiqicha.baidu.com/ https://www.qimai.cn/ https://app.diandian.com/ 案例2:URL网站备案查APP 1、查备案信息在搜 2、网站上有APP下载 3、市场直接搜单位名称 通过获取App配置、数据包,去获取url、api、osskey、js等敏感信息。 1、资产信息-IP 域名 网站 -转到对应Web测试 接口测试 服务测试 2、泄露信息-配置key 资源文件 - key(osskey利用,邮件配置等) 3、代码信息-java代码安全问题- 逆向相关 APP中收集资产 1、抓包-动态表现 2、提取-静态表现&动态调试 3、搜索-静态表现(逆向反编译出源码) 1、抓包抓表现出来的数据 优点:没有误报 缺点:无法做到完整 2、反编译从源码中提取数据 优点:数据较为完整 缺点:有很多无用的资产 3、动态调试从表现中提取数据 优点:没有误报,解决不能抓包不能代理等情况 优点;搞逆向的人能看到实时的app调用链等 缺点:无法做到完整 案例:某APP打开无数据包,登录有数据包(反编译后未找到目标资产,抓包住到了) 原因:那个登录界面是APP打包的资源,并没有对外发送数据 这就是动态和静态的区别 案例3:APP提取信息-静态分析 1、MobSF 2、AppInfoScanner 3、两个在线平台 https://mogua.co/ https://www.zhihuaspace.cn:8888/ https://github.com/kelvinBen/AppInfoScanner https://github.com/MobSF/Mobile-Security-Framework-MobSF Windows - MobSF安装参考: https://www.cnblogs.com/B-hai/p/15696948.html https://blog.csdn.net/ljh824144294/article/details/119181803 案例3:APP提取信息-动态抓包 -前期部分抓包技术 案例3:APP提取信息-动态调试 -MobSF+模拟器 |