测试环境

夜神模拟器

信呼OA APP v1.1.8（都是开源的，漏洞也是已知的，就不用隐藏了）

下载地址:http://xinhu-1251238447.file.myqcloud.com/file/xinhu_android_v1.1.8.apk

模拟器代理设置

在设置中，长按：

修改网络，设置代理：

写入本机ip地址及要使用的端口。

打开burpsuite，进行代理添加：

访问：ip:端口

下载证书，并改后缀为cer：

在设置中导入证书即可：


确定后会设置一个密码（锁屏密码）。

设置完成，进行测试，抓取https数据包。

APP测试

将下载好的apk直接拖入到模拟器中，自动完成安装，打开，设置系统地址：

这个地址不能随便设，可以通过一些非常规手段获得地址，所以就不给出地址了。

输入账号密码，进入即可（可尝试爆破）。

那就爆破一下吧（毕竟要多练习）。

进行抓包，账号为xinhu，所以只需要破解密码（其实知道密码是什么，就是想练练）。但是需要注意一个问题，好像错误次数多了会进行限制，所以我在练习的时候并没有把字典写的很多：

抓到的数据包中，账号密码都进行了加密，我输入的密码是123456，发现使用的是base64加密：

但是，账号却出了问题：

这里%3A是冒号的URL编码，其实这里将base64中的=变成了:，我们换成=：

对密码进行破解：

添加字典：

设置编码：

GO：

看一下是什么，好吧，懒得贴图了。a111111

这里看看回包：

成功的回包：

错误的回包：

可以尝试一下逻辑漏洞。

进入以后，很多选项，应用点开看看，能插入数据的地方：XSS、SQL注入等等，上传点getshell。

在项目中，创建项目可以插入数据：

我在插入的时候并没有使用编码，上图的插入后再进行编辑看到的结果（unicode编码）。

触发xss：

还有其他的地方可以插入数据。

当然，也有上传点，还是这个地方，最后一个选项。

直接上传phpinfo文件：

这里上传成功，但是看到文件名并不是php，访问这个文件：

进行下载后，打开：

解码：

确实上传没问题，但是这样并不能解析啊，但是，如果配合解析漏洞。

输入一个错误的路径，发现是nginx，nginx存在的解析漏洞：

在文件后添加`/xxx.php`，解析成php
%00截断

尝试一下：

直接打印出了结果，所以及时使用蚁剑base64解码连接，也没有办法。

但是柳暗花明，上传图片的话，并没有修改后缀名：

那么，上传图片马：

nice，所以黑名单校验？

fuzz了一下，上传txt这些非脚本文件，都是没问题的。

但是上传任意后缀名，会进行后缀名的修改：

然后也直接base64打印内容。

所以大概是脚本后缀和不识别的后缀进行后缀重命名，然后无法解析。

总结

APP渗透测试跟web渗透测试差不多，这个APP也比较简单，应该还有其他漏洞（主要是学习一下0.0）