在本系列文章中,我们将通过InsecureBankv2这个存在漏洞的Android应用,学习关于An??droid应用安全的各种概念。我们将从新手的角度来看每个问题。因此,我建议新手朋友可以关注本系列文章。由于教程是从零开始的,前面的东西难免比较基础,老手请先过一遍。移动渗透平台搭建在测试Android应用之前,我们需要搭建一个合适的移动渗透平台。首先,我们需要下载EclipseADT包并安装它。造轮子这里就不赘述了。有两个文件夹,一个叫tools,另一个叫platform-tools。这两个很重要,需要添加到环境变量中。可以使用以下命令将路径添加到环境变量exportPATH=/path/to/dir:$PATH。将工具和平台工具文件夹添加到环境变量。操作完成后,就可以使用所有命令了。然后检查它是否有效,你可以输入adb命令,你可以得到以下输出。为了保证应用程序能够在我们的电脑上运行,我们还需要一个好用的模拟器。EclipseAndroidVirtualDevice是一个Android模拟器,如何创建虚拟设备,朋友们可以上网搜索一下。但是,对于本系列文章,我将使用另一个工具Genymotion来创建虚拟设备。原因有很多,一是处理速度比较快,二是用Genymotion创建的虚拟设备默认自动获取root权限。这也意味着你可以自由安装应用程序,也方便Android应用程序的审核。安装Genymotion后,需要注册一个账号(免费),根据需要创建不同的模拟器。好的,现在我们将从github上克隆InsecureBankv2的源代码。打开你创建的虚拟设备,这很简单。在刚刚从github上克隆出来的工程文件中,有一个apk文件。您可以使用adbinstallInsecureBankv2.apk命令安装该应用程序。上图中可以看到success,说明apk文件已经安装成功,在模拟设备中可以看到相应的应用程序图标。但有时您可能只想编译此文件而不是运行此apk文件。这时候你需要打开Eclipse找到File->SwitchWorkspace,选择你创建的Insecurebank文件夹,然后在File->Import中选择已有的Android代码放入工作空间。选择应用程序所在的文件夹,可以看到Eclipse已经将应用程序放到了你的工作区中。这时候可以点击顶部的播放按钮开始运行应用。在保证模拟器正常运行的情况下,选择运行Android应用程序。不出意外,此时你可以在模拟器中看到应用成功运行。同时启动后端python服务,可以使用命令pythonapp.py–port8888填写本应用的ip地址和端口。您现在可以使用默认凭据登录应用程序。dinesh/Dinesh@123$jack/Jack@123$请确保您安装了以下工具,我们将在后面详细介绍它们。DrozerAndbugIntrospydex2jarapktool或者,使用adbshell连接到您的模拟器,看看您想要做什么。Android命令集希望大家有空可以看看Android命令[http://developer.android.com/tools/projects/projects-cmdline.html]。我真的建议你去这里了解更多关于adb[http://developer.android.com/tools/help/adb.html]并尝试使用大多数命令。下节预览在下一篇文章中,我们将了解InsecureBankv2项目中的各种漏洞,进一步了解Android应用的安全性。InsecureBankv2项目地址:https://github.com/dineshshetty/Android-InsecureBankv2EclipseADTbundle:https://developer.android.com/sdk/installing/index.html?pkg=adt译者Iris注:本文原作者文章我已经完成了iOS安全主题。以完成度来看,Iris愿意跟随作者的步伐,从零单排一步一步来。
