第二十章 使用Burp 、Android Killer进行安卓app渗透测试

既然能用burpsuite测试web，那就能用burpsuite测试APP（有大佬自称用burpsuite行走江湖多年，靠插件和经验打遍天下无敌手）

本次演示采用夜神模拟器+burpsuite v2020.11　　（啊当然不是因为夜神最niubility，而是我手头就有它了 ，如果要抓的APP不能在夜神上运行、或者框架安不了，确定是模拟器的问题，就换一个模拟器，什么mumu、雷电、天天、逍遥...）

系统为安卓7　　（版本太低的不予讨论）

为了抓HTTPS的包，没安装证书的，自行下载、导入、安装（简单说一下，比如浏览器安装证书，如果burpsuite监听的是本机的8080端口，那就浏览器访问http://localhost:8080，下载CA证书，然后在浏览器中导入cacert.der，安到受信任的根证书颁发机构，直到看到PortSwigger CA，证明导入成功）

在模拟器配置，长按网络修改网络，采用代理，IP为本地主机IP，端口也设一个，啥都行比如8081

然后在burpsuite中新建一个绑定代理，选择本机IP和刚刚写的端口

最终变成

然后在夜神模拟器中用浏览器访问192.168.25.203:8081下载证书（嫌安全警告弹得烦，也可以在本地机器设代理后上访问http://192.168.25.203:8081，下载证书后再共享到模拟器中安装）

 下载CA证书，然后打开模拟器中“下载”可以看到证书

别忘了把后缀从.der改成.cer（der安不了），然后拖到SD卡的路径中，到设置-》安全-》从SD卡安装，选择这个证书

为证书起个名字，设置PIN码，随便搞一个记得住的，安装成功之后会提示安装成功

 完活儿，然后正常来说就可以用burpsuite抓一些模拟器中APP或者其他什么的数据包了

but，这只是比较理想的情况

实际上会出现各种问题：

1.本机不允许设置网络代理

像我最初做的例子，就属于开了模拟器本机的代理，那有些APP就是会检测代理，你设置了本机代理我干脆就不让你正常运行！怎么搞嘛

常见的一种方法是在模拟器外部抓包来规避检测，比较常规的办法就是利用proxifier（当然，先要按照之前的步骤安证书，区别在于这回不用手动修改模拟器网络代理配置）

配置代理服务器，选本机IP，端口8080（burpsuite怎么写，这里就怎么写，burpsuite默认监听8080），HTTPS

 再配置规则，名字随便起，把夜神模拟器进程Nox.exe（不一定就是这个，看你机器上显示的是什么就写什么）导入规则，代理选之前配的

启用此规则

 然后用burpsuite即可绕过限制抓包（吧）

 模拟器-》proxifier-》burpsuite

2.APP认证机制

有一个问题：HTTPS抓包一个朴素的思想是什么？

答：MITM，对客户端伪装成服务端，对服务端伪装成客户端

这里有一篇介绍HTTPS认证原理（单向认证、双向认证）的文章，总结了一下　　https://www.cnblogs.com/yaphetsfang/articles/12858356.html

但是有些APP会采用SSL-Pinning 机制来进行抵抗抓包

那么，如何绕过SSL-Pinning机制呢？（很多东西，模拟器上是用不了的，必须真实手机环境）

（1）老版本安卓系统（7以下）可能会没有针对第三方证书的限制，无此机制限制，可按照常规办法抓包（但前提是APP能在上面正常运行）

（2）或者有root权限，能把这些个第三方证书安到系统默认预置的证书区里面

（3）再或者 Xposed+JustTrustMe、VitualXposed+JustTrustMe 

VitualXposed可以在不需要设备root的情况下，修改App的行为　　 https://vxposed.com/

Xpose框架是一款可以在不修改APK的情况下影响程序运行或修改系统的框架服务　　 https://github.com/rovo89/Xposed

JustTrustMe是Github上面的一个开源项目，是xposed中的一个模块，用于禁止SSL证书验证　　https://github.com/Fuzion24/JustTrustMe?utm_source=testingpai.com

 使用较为复杂，请参考：

https://blog.csdn.net/u011215939/article/details/95461286

http://www.yxssp.com/23278.html

 （4）frida，仍然是比较复杂，参考：

https://xz.aliyun.com/t/6102

https://www.cnblogs.com/Eeyhan/p/12916162.html

 （5）反编译APK

有壳先脱壳，我等渣渣脱壳只能用大佬写的工具

之后用工具反编译，之后。。。之后我就不会了（理直气壮），安卓一窍不通，正常来说需要修改内容

哪位大佬给条明路

3.root检测问题

 很多模拟器默认root（先不讨论这玩意有没有实际效果），这可能导致部分APP被限制。。。功能，打不开、闪退，更没法抓包

要么关掉root

要么绕过root检测，检测可能会通过检测系统版本、看看有没有安什么root管理器啊、需要root的框架啦什么的

相关软件有很多，但本菜鸡安卓逆向玩的不好，所以这里就只是提一下，具体方法参考其他师傅们的文章吧

剩下的，就基本上和web测试一样了，该用代理池用代理池，该用扫描器用扫描器

网上相关的文章比较多，可以参考一下

https://www.secpulse.com/archives/4325.html

http://www.freebuf.com/articles/web/29421.html

https://zhuanlan.zhihu.com/p/22302904