移动端渗透测试_入门到放弃

移动端渗透测试（一）

缺少Native反调试检测

漏洞描述
App没有使用反调试技术对运行时的程序进行保护。攻击者可以通过动态调试的方法，对App进行逆向、跟踪等。同时，攻击者还可以利用调试技术，在运行时的App内存中注入恶意代码，达到截获运行时数据的目的，此举可能导致用户的隐私信息被窃取。

检测步骤

1将root测试机与电脑连接（注意电脑的pp助手需要关闭）
2.在dos窗口中输入adb devices与root测试机连接
如果连接不上输入netstat -ano | findstr 5037查看任务进程个数（重启解决）
3.在dos窗口中进入目录cd D:\IDA.Pro.v7.0\dbgsrv
4.输入命令adb shellsucd /data/local/tmp./android_server
5.另开启一个dos窗口输入adb forward tcp:23946 tcp:23946

6.打开32位版本IDA

7. 设置调试选项。这样可以设置进程在创建新线程和加载动态库(so)文件时自动中断

8. 选择要调试的进程。可以通过CTRL+F快捷键在弹出窗口中快速查找要调试的进程。

9.双击进入调试页面