wnagzihxa1n

wnagzihxa1n

iOS/Android Security

© 2021

大土豆安全笔记 2020.07.13 CTF里的Android题目

前两天泉哥发了篇文章《「书评」聊聊打CTF的那本书》,讲的是朋友圈刷屏的书《CTF特训营》

  • https://mp.weixin.qq.com/s/8ORoaDS3I4gF0KvW2qAblA

我吧,大学的时候做过一些CTF战队的外援,主要做Android方向的题目,也出过一些CTF的赛题,所以这本书里关于Android方向的知识我还是有一点点评论的资格的

个人认为是没写好,一本技术书不应该是这样的态度

多的话不说了,补充一份资料,我之前打比赛时写的题解,都是Android相关的题目,里面包含了所有的题目,APK,题解,调试分析时的脚本等文件

  • https://github.com/wnagzihxa1n/CTF-Mobile

我接触Android安全也挺长时间了,国内出版的所有相关的安全技术书籍我几乎都买了,说真的并没有几本我是满意的,我在朋友圈也说过一些加入垫显示器豪华待遇套餐的书

我这里再列一遍,防读者朋友们踩坑,实话实话,我不怕人喷

最垃圾的一本是《Android 软件安全攻防实例分析》,作者是xjf,zl,这本书就是把网络上的一些技术文章编辑了一下然后做了个汇总,这也叫书???

我推荐几本确实不错的,排名不分先后

非虫两本Android应用逆向入门,《Android 软件安全与逆向分析》和《Android 软件安全权威指南》

我读本科的时候,入门Android安全不是读的这两本,是吾爱破解上面的零碎教程,后来我稍微有点入门之后,就买了非虫的第一本Android逆向书学习,确实是非常不错

非虫第二本书是我毕业后出版的,我第一时间就买了,说实话对于那会的我来说帮助不大,毕竟只是入门知识,虽然后面有脱壳相关等进阶技术,但也只是浅尝辄止,整体较第一本书有所更新,其中的技术也更贴近当时最新的功放场景,算是进阶版

以上只是我个人看法,是否购买可自行决定

还有几本我不想说,一本黄色的,一本红色的,整体来说一般吧

之前我也想过写一本技术书,像《0day2》那样的,所有调试操作全程贴图,实在是太详细了,我大二那年的暑假在家里仔仔细细的把所有的章节都调试了一遍,当时还写了很多的调试笔记与大家分享

之所以没有写下去,是因为我觉得基础的知识已经有不少书籍可以参考了,没必要反复造轮子,我希望写一些更具有启发性质的

像如何使用JEB,APKTool,Jadx这些工具去反编译APK文件,如何阅读Smali代码,如何进行动态调试,我觉得都是基础操作,网络上的文章也很多

而真正在这些基础操作之上的文章却是不多,尤其是近几年,业界产出确实是少了,可能大家都进了不同公司的安全团队,都转化成为公司的安全产品和防护方案了吧

基础操作之上的东西都有哪些呢?

我对甲方安全整体建设还掌握的不够,我目前接触的更多的是移动安全,所以从移动安全角度来看看不同的进阶分支

最直接的就是Android应用的漏洞挖掘,这里的漏洞挖掘分为两部分:

  1. 纯本地的代码缺陷,比如开启调试和备份,Intent拒绝服务,任意组件越权调用,没做证书校验等
  2. 业务逻辑相关的漏洞,比如有个Activity导出,它的功能是与服务端交互发送一个修改密码的,那么这就是一个可能存在的业务逻辑漏洞

Android应用漏洞挖掘在甲方安全建设里叫作安全审计,这里可做自动化扫描器,比如静态扫描,之前不少在线扫描器都是静态规则扫描,大同小异

科恩前段时间拿出来商业化的东西是基于FlowDroid搞的数据流分析,这个我认为是个很不错的方向,比单纯静态分析有搞头多了,我目前也在做

还有像360烽火实验室搞的Android病毒,抓APT,这里面涉及到了沙箱系统的定制开发,运营,规则维护,数据获取等

竞品分析也是一个大头,如何快速有效的对竞品进行功能定位是安全团队一个很重要的能力,其中涉及到脱壳,逆向,动态调试,协议分析,也有很多技巧在里面

更多的细分方向碍于能力有限,我就不过多描述了

像我这样话多,平时没事就喜欢上来跟大伙唠几分钟干货的博主不多了,欢迎大家有空就过来看看