_In _ m y vorherige Zuschreibung Ich erkläre das Eingeborener reagieren Reverse-Engineering-Technik. Wieder habe ich einen Fehler gefunden in Xamarin basierte Anwendung, die durch einen anderen Ansatz anstelle der alten Reverse-Engineering-Methodik gefunden wurde.
Einführung:
Xamarin ist ein kostenloses und Open-Source-Plattform für mobile Apps für den Aufbau nativer und leistungsstarker ios , Android , tvOS, watchOS, macOS und Windows.
Altmodische Art des Android Reverse Engineering
Normalerweise wird eine Android-Anwendung beim Umkehren mit dekompiliert apktool, dex2jar und dann analysiert mit JD-GUI . Bei nativen Anwendungen kann dies nützlich sein, wenn die Anwendung über welche verfügt nativen Code die Sie analysieren möchten.
Aber meistens liegt die Kernlogik der Anwendung in der . dll, die abgerufen werden kann ohne dex2jar verwenden zu müssen.
Reverse Engineering-Prozess: Xamarin-Anwendung
Schritt 1 : Lassen Sie uns bestätigen, ob die Anwendung auf dem Xamarin-Framework erstellt wurde.
Um dies zu überprüfen, benennen Sie das APK mit der Zip-Erweiterung um und extrahieren Sie das APK dann mit dem folgenden Befehl in einen neuen Ordner
cp com.example.apk example-apk.zip unzip -qq example-apk.zip -d unzipped-apk Navigieren Sie zum neu erstellten |_+_| Ordner und suchen Sie das |_+_| Mappe. In diesem Ordner befinden sich mehrere |_+_|Binärdateien. Es bedeutet also, dass die Bewerbung bauen auf dem Xamarin-Framework auf.
Schritt 2 : Jetzt müssen wir passende |_+_| . finden Datei, die die Kernlogik der Anwendung enthält. Es ist einfach, die richtige DLL-Datei zu finden. Normalerweise die |_+_| Datei mit dem Paketnamen oder Anwendungsnamen benannt.
Schritt 3 : dekompilieren die |_+_| Datei mit dem ** dnSpy-Tool**.
**Schritt 4: **Suche nach vertraulichen Anmeldeinformationen und Endpunkten
In dieser Phase müssen Sie die sensible Keywords um den dekompilierten Code zu analysieren. Ein beliebtes Muster bei Android-Anwendungen ist die Verwendung von Diensten von Drittanbietern wie Firebase, Azure, AWS s3-Dienstendpunkte, private Schlüssel usw.
Nach einer langen eingehenden Analyse der Codeüberprüfung konnte ich im kommentierten Codeabschnitt **sensible hartcodierte Anmeldeinformationen** finden.
Jetzt ist es an der Zeit, die offenbarten Schlüssel auszunutzen
Immer wenn ich einen API-Schlüssel gefunden habe, gehe ich in erster Linie auf die Schlüsselhacks GitHub-Repository. Es gibt jedoch keinen gültigen Ansatz in Bezug auf die offengelegten Schlüssel.
Zukünftige Analyse der Dokumentation zur Azure-Blobspeicher-API und einiger Tutorials zur Azure-Befehlszeilenschnittstelle. Ich habe die Verwendung dieser Anmeldeinformationen über die Azure-CLI kennengelernt. Nachfolgend finden Sie den Prozess, um die offengelegten Schlüssel zu nutzen
#cybersicherheit #azure #infosec #xamarin
infosecwriteups.com
Lassen Sie uns wissen, wie ich die vergrabenen Geheimnisse in der Xamarin-Anwendung erforscht habe
In meinem vorherigen Artikel erkläre ich die React Native Reverse Engineering-Technik. Wieder habe ich einen Fehler in einer Xamarin-basierten Anwendung gefunden, der durch einen anderen Ansatz anstelle der alten Reverse-Engineering-Methode gefunden wurde.
Siehe Auch:
- Windows akzeptiert keine Passwörter? Wie man es repariert?
- Wie und wo kann man Xiasi Inu (XIASI) kaufen – eine einfache Schritt-für-Schritt-Anleitung
- Abhängigkeiten zwischen DAGs in Apache Airflow
- Was ist DogeFi-Armee (DOGEFI) | Was ist DogeFi-Armee-Token | Was ist ein DOGEFI-Token?
- Erstellen Sie eine progressive Webanwendung (PWA): Ein vollständiger Leitfaden