Guía de configuración de la herramienta básica de pruebas de penetración de Android | Parte 1 | Autor: Sargam Dhaliwal | Julio de 2021
Desde hace unos meses, quería escribir un artículo sobre las pruebas de penetración de Android. Pero se pospuso debido a la apretada agenda. Aprendamos más sobre cómo configurar un entorno de evaluación de seguridad móvil.
En esta guía, analizaremos algunas de las herramientas necesarias para la evaluación de la seguridad móvil y su configuración en la computadora local y el simulador / dispositivo. Como todos sabemos, para la evaluación de la seguridad móvil, se requiere un dispositivo con privilegios de root. Podemos utilizar dispositivos físicos o simuladores. Entonces, en este blog, usaremos Gennymotion como nuestro emulador.
Para evitar cualquier tipo de problema técnico, utilice la última versión de Gennymotion.
Para movilelectrónico Evaluación de seguridad, podemos clasificar herramientas basadas en diferentes tecnologías como evaluaciones de seguridad estáticas y dinámicas. La siguiente tabla muestra una lista de estas herramientas. Discutiremos algunas herramientas importantes en un blog de seguimiento (Parte 1).
Antes de continuar, tenga en cuenta los siguientes requisitos previos:
Es un kit de herramientas de detección dinámico gratuito. Con esta función, podemos ejecutar algunos scripts en el software firmado por el propietario, es decir, software propietario. Con frida, podemos inyectar algunos scripts maliciosos en el proceso en tiempo real de las aplicaciones de Android para explotar vulnerabilidades conocidas.
Se requieren los siguientes comandos para instalar frida:
pip install frida
pip install frida-tools
Servidor Frida
Para esta configuración, uso frida-server-12.10.4-android-x86.xz para el dispositivo virtual, pero si está utilizando un dispositivo físico, debe instalar la versión ARM. Ahora descomprima este archivo y realice los siguientes pasos de instalación:
Puedes usar la herramienta apk para instalar el servidor frida, o seguir mi camino 🙂 → arrastrar y soltar.De esta forma, su archivo se guardará en Tarjeta SD / descarga
- Use la herramienta adb para obtener el shell y mueva el archivo del servidor frida a data / local / tmp
mv frida-server-12.10.4-android-x86 data/local/tmp
- Use el siguiente comando para cambiar el nombre del archivo a frida-server
mv frida-server-12.10.4-android-x86 frida-server
- Cambiar los permisos de frida-server
chmod +x frida
- Use el siguiente comando para ejecutar el servidor frida
Si encuentra el siguiente error al ejecutar el servidor frida, finalice su proceso y ejecútelo nuevamente. Después de iniciar el servidor frida, puede ver todas las aplicaciones que se ejecutan en el emulador y sus ID de proceso y nombres de paquetes.
La objeción es un kit de desarrollo en tiempo de ejecución basado en Frida que puede ayudarlo a realizar evaluaciones de seguridad móvil.
Los siguientes comandos se utilizan para instalar y ejecutar contra
pip3 install objection
objection -g <process_id>/<package_name> explore
Discutiremos otras herramientas en la segunda parte. Tarde o temprano…