挖掘利器Andro Tickler:安卓应用渗透测试和审核工具箱
2017-12-27 00:00
232 查看
AndroTickler是一款Java工具,可以帮助你更快,更轻松,更高效地测试Android应用程序。
AndroTickler提供了许多信息收集功能,包括静态和动态检查,涵盖Android应用程序的大部分测试。
它还提供了pentesters在pentests期间需要的几个功能。 AndroTickler还与Frida集成,提供方法追踪和操作。它以前以Tickler的名义发表。AndroTickler需要一个linux主机和一个连接到其USB端口的扎根Android设备。该工具不会在Android设备上安装任何东西,它只会在/ sdcard上创建一个Tickler目录。 AndroTickler依靠Android SDK在设备上运行命令,并将应用程序的数据复制到主机上的TicklerWorkspace目录以供进一步分析。 TicklerWorkspace是AndroTickler的工作目录,每个应用程序在TicklerWorkspace中都有一个单独的子目录,可以包含以下内容(取决于用户操作):DataDir目录:应用程序的数据目录的副本提取的目录:应用程序上apktool的输出,包含smali代码,资源,库…等。
信息收集/静态分析: 在设备上列出安装的应用程序: java -jar AndroTickler.jar -pkgs 搜索设备上安装的应用程序(包),其包名称包含searchKey java -jar AndroTickler.jar -findPkg <searchKey>包没有额外的属性 java -jar AndroTickler.jar -pkg <package> [other options]AndroTickler需要一个linux主机和一个连接到其USB端口的扎根Android设备。该工具不会在Android设备上安装任何东西,它只会在/ sdcard上创建一个Tickler目录。AndroTickler依靠Android SDK在设备上运行命令,并将应用程序的数据复制到主机上的TicklerWorkspace目录以供进一步分析。TicklerWorkspace是AndroTickler的工作目录,每个应用程序在 TicklerWorkspace中都有一个单独的子目录,可以包含以下内容(取决于用户操作):
+ DataDir目录:应用程序数据目录的副本+提取的目录:应用程序上apktool的输出,包含smali代码,资源,库等。+ bgSnapshots目录:包含从设备复制的背景快照。+图片目录:包含为该应用拍摄的任何截图。+ JavaCode目录:包含由dex2jar和JD tools反编译的应用程序的Java代码+ logs目录:包含由-t -log生成的日志文件,如下所述+ transfers:使用-copy2host + AndroidManifest 从设备复制到主机的文件和目录。 xml:根据apktool + 应用程序的清单文件base.apk:安装在设备上的应用程序的APK文件+ debuggable.apk:应用程序的可调试版本,由-dbg生成
libs目录和Tickler.conf配置文件存在于jar文件的同一目录下。配置文件设置主机上的TicklerDir目录的位置和android设备的/ sdcard上的Tickler 。如果配置文件不存在,或者这两个目录没有设置,则会使用默认值(分别位于当前目录和/ sdcard / Tickler上的Tickler_workspace)。Tickler_lib目录包含一些由AndroTickler使用的Java库和外部工具,如apktool和dex2jar。
AndroTickler高度依赖于以下工具,所以在使用之前,它们应该存在于您的机器上:
+ Java 7或更高版本+ Android SDK工具(adb和friends)+ sqlite3有些功能需要其他工具,但是AndroTickler仍然可以在没有它们的情况下运行:
+ Frida+ jarsigner用法和建筑:
git clone https://github.com/ernw/AndroTickler && cd AndroTikler
gradlew
gradlew build
cd build/libs
java -jar AndroTickler.jar -h
文章出处:FreeBuf
你会喜欢
安卓手机拨号键盘隐藏工程代码大全,可以看到你每一步的操作
安卓微信出现BUG可导致手机崩溃
相关文章推荐
- 挖掘利器Andro Tickler:安卓应用渗透测试和审核工具箱
- 安卓应用启动时间测试
- Lobotomy:安卓系统评估渗透测试工具包
- 【译】安卓应用架构续-Android 中构建快速可靠的 UI 测试
- 安卓使用Termux做渗透测试(演示sqlmap安装,并附上一个神器)
- python多线程在渗透测试中的应用
- 手机无须ROOT不用修改hosts即可在本地测试安卓、苹果APP和H5应用
- 移动APP安全在渗透测试中的应用
- 移动APP安全在渗透测试中的应用
- 移动应用渗透测试的军火库清单
- 安应用APP渗透测试方案
- Kali应用及渗透测试
- python多线程在渗透测试中的应用
- 安卓应用自动化测试工具
- 【转】Appium测试安卓Launcher以滑动窗体获得目标应用
- 安卓防逆向、防动态分析、渗透测试及加固
- Android 渗透测试学习手册 第三章 Android 应用的逆向和审计
- 小白日记35:kali渗透测试之Web渗透-手动漏洞挖掘(一)-默认安装引发的漏洞
- 安卓应用启动时间测试