浅析Windows平台下Android应用抓包挖掘漏洞方法

0x01 大体思路

在安卓75%的市场占有率下，形形色色的安卓应用层出不穷，随之而来的便是大波的漏洞。在各类市场中随意翻一下，几乎都是连接网络的应用，这在给用户惬意体验的同时也给我们漏洞挖掘带来了机会。

当前无论是web网页，还是基于网络的安卓应用，免不了都要用http协议来与服务器通信，提交用户的更改或者获取用户想要的信息，下面，我们一起来探讨如何在windows平台下抓取http协议包寻找其中的潜在漏洞。

0x02 平台搭建

既然我们要在windows平台下挖掘安卓应用漏洞，就要想个办法让安卓应用在电脑里运行，我们用到了第三方安卓模拟器”BlueStacks”，以及一款中文辅助软件”给力助手”  url：http://www.shouzhi.net.cn/z/bluestacks.html 软件并不臃肿，功能却很强大。内置安卓系统为定制系统，无启动器，可以自行在给力助手中安装GO桌面充当启动器。
这是安装好后的样子，跟安卓pad无异，触摸屏表示很爽：

对于外部apk应用导入，可以使用给力助手中的功能实现。

安卓应用能在电脑里运行了，还缺很关键的一步就是抓包了，大名鼎鼎Wireshark能胜任这个任务。url:http://dlsw.baidu.com/sw-search-sp/soft/01/15788/Wireshark-win32-1.11.2.1339076454.exe 安装好后启动界面是这样子的：

点击上图框选interface list按钮进入网卡选择：

点击有包的那个start按钮进入监听。Wireshark可以抓到所有的网络包，对于本文，我们只需要抓取get和post方法发出的数据包，不然一秒钟数百个数据包着实让人无从下手。
在下图中框选位置输入过滤语句，过滤出get和post包：http.request.method=="GET" or http.request.method=="POST"

好了，现在我们可以抓到所有post和get请求包了（注意wireshark监听的是网卡，电脑中所有应用产生的包都会被抓到，要注意识别分辨），测试一下在模拟器中打开网页，完美抓取。

0x03实战

做足了准备工作，我们可以开始实战挖一下漏洞了。由于热门推荐的应用都是免费应用，挖到漏洞也不算漏洞，付费应用需要先付费才能触发功能截获http包，屌丝付不起.....
于是乎，我们从一个特殊应用下手，我们测试的应用是58积分，一款手机赚钱应用。url:http://www.58jf.com/ 安装后可一键自动注册。简单转一下，此应用赚钱方法就是让我们下载应用，安装，然后给我们积分，积分可以兑换奖品，1W积分=1元。为了优惠新手用户，做基础任务可以奖励积分，其中第一个任务为完善用户资料，奖励2K积分。很好，就从这个完善用户资料的任务开始吧。先正常填写（这些资料目测填写完后无法走正常途径改动，而且兑换时只能是充值到此处填写的账户里，当然，以后用漏洞改也可以，只不过费点劲罢了）

千万不要点确定哦，点确定之前先记得把wireshark的监控打开...
确认可以正常抓包后，点击确定，等返回提交成功的信息后，在wireshark中按ctrl+e终止抓包，分析这几秒内捕获的包：

发现了这个，明显就是提交信息到服务器的get请求，我们用图中框选出的信息组合成url，提交成功！
再看一下积分数量

0x04反思

由上面的案例我们已经掌握了如何抓取安卓应用的对外发包了，通过此方法可以挖出很多应用的很多漏洞，想必这是极好的~
整个黑盒测试过程几乎不需要懂代码，只需懂一些基础知识即可，希望大家可以举一反三，挖出其他应用的更多漏洞