Shikata Ga Nai

Private? There is no such things.

Mobile

Hacking Mobile Platforms — Basic Penetration Testing on Android Applicationsをまとめてみた

Hello there, ('ω')ノ 記事: https://chennylmf.medium.com/hacking-mobile-platforms-basic-penetration-testing-on-android-applications-58845fa4c721 モバイルプラットフォームのハッキング - Androidアプリケーションの基本的な侵入テスト 1.概要: …

Running MobSF SAST using Gitlab CI Serviceをまとめてみた

Hello there, ('ω')ノ Gitlab CIを使用してMobSF SASTを実行する方法を。 記事: https://waristea.medium.com/running-mobsf-sast-using-gitlab-ci-service-7c3ac3a48648 1.導入:GitLab CIとMobSFを統合する方法を紹介。 2.MobSFについて:- モービル…

Setting up Mobile Static Code Analysis platform using Docker and MobSFをまとめてみた

Hello there, ('ω')ノ 記事: https://0xklaue.medium.com/setting-up-static-code-analysis-platform-using-docker-and-mobile-security-framework-mobsf-f09214c84fcc DockerとMobSFを使用したモバイル静的コード分析プラットフォームの設定 導入: Androi…

Guide to Android Application Testingをまとめてみた

Hello there, ('ω')ノ 記事: https://detoxtechnologies.medium.com/guide-to-android-application-testing-5ebe37146027 Androidアプリケーションテストのガイド 概要:- スマートフォンのユーザ数は32億人以上に増加しており、モバイルアプリ業界は急成長…

The A-Z Guide: When Mobile App Testing Is Done Right?をまとめてみた

Hello there, ('ω')ノ 記事: https://qatestlab.medium.com/the-a-z-guide-when-mobile-app-testing-is-done-right-c05b1f76de3d モバイルアプリテスティングが正しく行われるとき: A-Zガイド このチェックリストは、モバイル製品のマネージャやモバイルア…

AndroGoatをインストールしてみた

Hello there, ('ω')ノ 前回に引き続き、NoxPlayerを起動して。 今回は、携帯電話のGalaxy S10を選択することに。 下記のサイトからテスト用にアプリの情報を。 https://www.linkedin.com/pulse/10-vulnerable-android-applications-beginners-learn-hacking-…

NoxPlayerでモバイルのテスト環境を構築してみた

Hello there, ('ω')ノ このところ、モバイルとBurpの接続で四苦八苦していて。 最終的には、モバイルのroot化という問題にぶちあたって。 root化をやろうとおもえばやれるのですが。 この先、人に教えるということまでを考えるとそうもいかず。 以前、インス…

AndroidへのBurpのCA証明書のイントールを途中までためしてみた

Hello there, ('ω')ノ その後、やはりAndroidとBurpの通信に納得いかなかったので。 PortSwiggerに問合せをしていると回答が。 どうもAndroidが証明書の信頼設定を処理する方法が。 7.0以降のAndroidバージョンで変更されたので。 BurpのCA証明書を別の方法…

脆弱なAndroidアプリケーションの通信を確認してみた

Hello there, ('ω')ノ 最近は、なにかとAndroidばかりなのですが。 もう少しで落ち着くので、Webアプリと並行してやっていこうかと思ったりして。 下記は、初心者がAndroidハッキングを学ぶための脆弱なAndroidアプリケーションで。 https://play.google.com…

モバイルアプリの検証環境をつくってみた②

Hello there, ('ω')ノ 昨日の続きで、手探り状態でUpstream Proxyの設定をすると。 うまく通信できたようにも思えるのですが、どうやら関係ないような。 なので、余計なことなのですが一応やってみたということで。 その後は、削除することに。 ちなみにBurp…

モバイルアプリの検証環境をつくってみた①

Hello there, ('ω')ノ そろそろ本気でモバイル系をしないとと思って。 検証機を揃えて環境を確定していく予定でして。 エミュレータも検討していたのですが、なかなか悩ましいとろこでして。 今回は、とりあえず記録を残しておくことに。 下記へアクセスして…

Fridaを使うための前準備をやってみた

Hello there, ('ω')ノ MOBEXLERは、モバイルアプリケーション侵入テストプラットフォームで。 モバイルアプリの侵入テストに必要なすべてのツールが含まれているようで。 https://mobexler.com/ メニューを見るとfridaも含まれていて、かなり揃っているよう…

DivaのINSECURE DATA STORAGE PART4をやってみた

Hello there, ('ω')ノ まずは、デバイスに接続してapkファイルをインストールして。 adb connect 192.168.56.103 adb install diva-beta.apk 前回、下記コマンドでclasses.dexファイルをjarファイルに変換したものをつかって。 dex2jar classes.dex ソースコ…

Dexファイルをかるく分析してみた

Hello there, ('ω')ノ まずは、脆弱なAndroidアプリケーションをダウンロードして。 http://www.payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz ダウンロードできたら、解凍して。 tar zxvf diva-beta.tar.gz unzip -d diva2 diva-beta.apk dexdum…

Drozerをかるくつかってみた

Hello there, ('ω')ノ 昨日も一日中、VirtualBoxとKaliの設定で四苦八苦して。 結局は解決できず。 教育を考えると物理上のKaliよりは手軽なことを考えてましたが。 あまり環境構築でうまくいかないとなると時間の無駄なので一時保留で。 さて、DrozerはAndr…

SantokuでApkのインストールをやってみた

Hello there, ('ω')ノ 週末から四苦八苦していた環境構築は、少しずつ理解できて。 まずは、適当なところからapkファイルをダウンロードして。 正常にダウンロードできたことを確認して。 すでにadbで接続しているデバイスへインストールしてみて。 GENYMOTI…

Santokuで環境を構築してみた

Hello there, ('ω')ノ Santokuは、モバイルフォレンジック、分析、セキュリティに特化していて。 使いやすいオープンソースプラットフォームにパッケージ化されているらしく。 https://santoku-linux.com/download/ ダウンロードしたISOファイルで構築を。 …

GENYMOTIONをインストールしてみた

Hello there, ('ω')ノ モバイルの検証環境を整えようとツールの選択など四苦八苦して。 いつも独学なので余計に時間がかかってしまって。 まずは、エミュレータを下記のサイトから。 genymotion.com/#!/ アカウントを作成して。 ダウンロードしてインストー…