Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất...
Transcript of Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất...
![Page 1: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/1.jpg)
AndroidMobilePentest 101©tsug0d,September2018
![Page 2: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/2.jpg)
Bài5– PhântíchđộngMụctiêu:PhântíchđộngsửdụngBurpSuite
![Page 3: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/3.jpg)
- Phântíchđộnglàquátrìnhkiểmthửvàđánhgiátrongthờigianthực- Mụcđíchcủaphântíchđộnglàxemkếtquảtrảvề,biểuhiệncủachươngtrình,thayvìngồi
đọcsource-codenhưphântíchtĩnh- ChúngtasẽsửdụngBurpSuiteđểtiếnhànhphântíchđộng
GiớiThiệu
![Page 4: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/4.jpg)
GiớiThiệu
- Burpsuitelà một ứng dụng javadùngđể kiểm thửxâm nhập ứng dụngweb,đượcsửdụngbởinhiềunhàbảomậtchuyênnghiệptrênthếgiới
- ĐểcàiBurpSuite,truycập:https://portswigger.net/burp/communitydownload
- Tảivềfilephùhợpvớimáybạn,trongbàinày,mìnhsửdụngfile.jar
![Page 5: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/5.jpg)
- MởBurpSuitelên,giaodiệnnhưsau:
CáchSửDụng
![Page 6: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/6.jpg)
CáchSửDụng- Trongbàinàymìnhsẽkhông giớithiệutấtcảtínhnăngcủaBurp,mìnhchỉtậptrungvàonhững tính
năngquan trọngđốivớipentestmobileapp- Đầutiêncầnphảicấuhìnhchođiệnthoạiảo“proxy”thôngquaBurpSuite,nghĩa làmọi requestđược
gửiratừđiệnthoạiảođềuđượcBurpSuitebắtlại,rồimớiđilênserver- Kiểmtrađịachỉipđiệnthoạiảođểcấuhìnhchođúng:
- BurpSuite->Proxy->Options
![Page 7: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/7.jpg)
CáchSửDụng- ClickAdd,Chọnipaddressnằmtrongdảimạngcủaipaddressđiệnthoạiảo
8080
![Page 8: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/8.jpg)
CáchSửDụng- ỞProxyListenersđãxuấthiệninterfacetavừatạo,tickvàoRunning
![Page 9: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/9.jpg)
CáchSửDụng- Vàođiệnthoạiảo->Settings->Wifi,Clickvàgiữchuộtvàotrườngwifi
![Page 10: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/10.jpg)
CáchSửDụng- ChọnModify network,tickvàoAdvancedoptions, ỞProxyscroll,chọnManual
![Page 11: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/11.jpg)
CáchSửDụng- Điềnthông tinproxychúng tađãtạoởtrên ->Save
![Page 12: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/12.jpg)
CáchSửDụng- Chúng tagầnnhưhoànthànhphầncấuhình, truycậpthửtrangtsug0d.com
Accesstsug0d.comonmobile
Request bị bắt lại bởi burp
![Page 13: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/13.jpg)
CáchSửDụng- Sửdụng thửapp:
Tiến trình Login bị burp bắt lại, điều đó có nghĩa là chúng ta có thể xem và thay đổi payload gửi lên server!
![Page 14: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/14.jpg)
More Burp- Burpcónhiều tínhnăngrấthay,1trongsốđólàRepeater,tínhnăngnàygiúpbạntiếtkiệmthờigian,không
cầnrequestvàbắtlạinhiều lầnnữa
![Page 15: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/15.jpg)
More Burp- SendrequestvàoRepeater,vàsửdụng lạinhiều lầntạitabnày
![Page 16: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/16.jpg)
More Burp- BạncũngcóthểtấncôngvétcạnbằngcáchgửirequestvàotabIntruder- Tathửvétcạnmậtkhẩuchouser“dinesh”:
Kýhiệu§ đểđịnhdanhchophầnđượcvétcạn
![Page 17: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/17.jpg)
More Burp- Trongtabintruder, bấmqua Payloadstab,ởphầnPayloadOptions làbộpayloadtadùngđểvétcạnvàovịtrí
password,bấmStartattack
Listdata
![Page 18: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/18.jpg)
More Burp- Kếtquả!
Có 1 request có độ dài khác với các request còn lại!
True!
![Page 19: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/19.jpg)
More Burp- History,hiển thịlịchsửcácrequestđượcgửiratừđiệnthoạiảo
![Page 20: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/20.jpg)
More Burp- Sửdụng tabScanner(BurpSuitepromớicónha)đểtiếnhànhscantìmlỗitrong requestđược
chỉđịnh
![Page 21: Android Mobile Pentest 101 - GitHub · - Trong bài này mình sẽ không giới thiệu tất cả tính năng của Burp, mình chỉ tập trung vào những tính năng quan](https://reader035.fdocument.pub/reader035/viewer/2022062402/5fc73036fe708335d671a987/html5/thumbnails/21.jpg)
More Burp- Kếtquả