0
点赞
收藏
分享

微信扫一扫

提取APK中的URL地址

小铺有酒一两不够 2022-04-16 阅读 52
安全

一、目的

  客户端渗透测试前期信息收集过程中可以在APK中检索开发过程中没有删掉的URL地址,在这些地址中可能会发现后台、搜索引擎、子域名查找不到的一些资源。

二、操作

反编译APK文件

apktool d <xxx.apk>

  

  • 1

将反编译的文件zip打包发送到linux系统中
在这里插入图片描述
使用grep命令进行URL正则匹配

grep -ohr -E "https?://[a-zA-Z0-9\.\/_&=@$%?~#-]*" /Kevin/com.sogou.map.android.maps/ |sort|uniq >> test.txt

  

  • 1

在这里插入图片描述
然后在搜索出来的地址中查看是否有敏感地址:
比如这个地址就不在我搜索的上千个子域中:
在这里插入图片描述

随便一试直接进入后台,到此文件上传拿shell一个高危漏洞又到手了,香吧~
在这里插入图片描述

举报

相关推荐

0 条评论