移动端渗透测试
本帖最后由 上帝 于 2016-1-5 11:13 编辑很多小伙伴还没玩过移动端,今天我来教大家怎么找APP漏洞!
首先我是用burp,今天讲的是burp渗透测试其实都一样!
在同一WiFi下,指的是内网或者有笔记本的小伙伴可以打开360WiFi,台式机呢需要一个WiFi信号推荐360随身WiFi在补天可以换一个
OK,基础准备弄好先在cmd里面找到自己的内网ip
大家可以看到我的内网ip是192.168.1.103
然后我们先配置burp 在proxy里Options里面设置代理看截图
大家可以看到burp很贴心的帮我们找到自己的内网ip了,端口呢,我是设置的8080,接下来我们配置手机代理 我是iOS机
iOS里有个设置,然后是WiFi点进去在最右边有个 i 的符号点击 进去后有个http代理设置,点击手动,看截图
接下来就是实战一个APP,我选择的是一款叫进化吧数码兽,一个坑钱的游戏我们今天来个不用花钱
我们看到这个APP的传输是明文,我们先在登录处抓包,然后爆破
我们可以看到用密码123456 成功爆破出一个账号 zhangjian 这是一个漏洞,然后是支付的逻辑漏洞 ,sql注入要自己去发现
先创建一个角色,然后再充值这因为我们知道数据是明文传输,我们可以直接修改,我们先来个5000砖石 99美刀,这就是此游戏的坑,看截图
OK,我们已经看到价格是99 我们修改成0,可以购买了,今天的移动端渗透就到这里了,移动端sql注入也是同样的挖掘过程!
接下来 微博求粉:http://weibo.com/i/5659246170 各种安全信息跟工具有时间会发微博。 来了。专业啪啪啪!!! 牛逼。牛逼。。。。 6666666666666 66多多加油学习 你微博地址打错了 支持中国红客联盟(ihonker.org) 额自己试了还是没成功,方法可以借鉴感谢分享 涨姿势了:lol 支持,看起来不错呢!