안드로이드 취약점 진단 툴 ( Appie, Inspeckage )

2020. 1. 9. 22:432020/Android App Hacking

 

 

[1] Appie (Android Pentesting Protable Integrated Environment)

안드로이드 어플리케이션 취약점 진단을 진행하면서 apktool, dex2jar , dex2jar 그리고 jd-gui 도구를 통해서 어플리ㅔ이션 파일을 코드로 디컴파일하고 분석하였다.

Appie툴은 이 도구들이 하나로 통합되고 다른 여러 복합적인 기능을 가지고 있어 매우 유용한 분석 툴

참조 : https://manifestsecurity.com/appie/#Usage

 

Appie – Android Pentesting Portable Integrated Environment – Aditya Agrawal

Appie is a software package that has been pre-configured to function as an Android Pentesting Environment on any windows based machine without the need of a Virtual Machine(VM) or dualboot. It is completely portable and can be carried on USB stick or your

manifestsecurity.com

 

[2] Inspeckage

1. 데스크탑에서 Xposed apk다운 - Nox에서 ROOT 설정 On - Nox 에뮬레이터에 앱 다운


2. Xposed.apk에서 inspeckage모듈 다운한다

 


3. Inspeckage에서 분석할 앱 선택 

 

 

5. 통신 설정 (cmd> nox_adb forward tcp:8008 tcp:8008)

 

5. web -> localhost:8008 접속 - 정보확인 (*방화벽 8008포트 인바운드규칙을 통해 열어줌)

Insecurebankv2앱의 취약점들을 확인할 수 있다.