CaveiraTech Fórum
collapse

Ajuda Vulnerabilidade de um APK


Offline Akodar

  • L4MM3R
  • *
    • Posts: 2
  • Liked: 0
  • Likes Given: 0
Recebi um APK de apostas esportivas e queria saber se é possível modificar os dados dentro dele (ele não é offline) e também se é possível fazer um brute force do próprio android nesse APK e como fazer isso.


Offline muhx

  • SCR1PTK1DD13
  • ***
    • Posts: 137
  • Bravo Hotel
  • Liked: 50
  • Likes Given: 6
Bom, por meio de engenharia reversa você pode acessar o código do aplicativo.

Para ver o código primeiro você terá que descompila-lo. Você poderá utilizar alguma ferramenta como o You are not allowed to view links. Register or Login, que descompila o apk e a resource para uma linguagem intermediária chamada smali.

Ou o You are not allowed to view links. Register or Login para extrair as classes e depois é só exportar pro You are not allowed to view links. Register or Login. (Mínimo de java será necessário para compreender o código).

Quanto ao bruteforce eu não compreendi muito bem.

-- Talvez possa te ajudar.
You are not allowed to view links. Register or Login
« Última modificação: 15 de Setembro de 2020, 23:06 por muhx »


Offline Akodar

  • L4MM3R
  • *
    • Posts: 2
  • Liked: 0
  • Likes Given: 0
Então conseguindo esse código eu consigo invadir o APK e fazer oq eu quiser? Enquanto ao bruteforce encontrei uma vulnerabilidade no seu sistema de login, os tutoriais na internet que vi era sempre uma pessoa no kali linux usando hydra e pegando o ip de um site (como vou colocar um ip se é um aplicativo?) Desculpa a ignorância, tenho poucas semanas de estudo.


Offline muhx

  • SCR1PTK1DD13
  • ***
    • Posts: 137
  • Bravo Hotel
  • Liked: 50
  • Likes Given: 6
You are not allowed to view links. Register or Login
Então conseguindo esse código eu consigo invadir o APK e fazer oq eu quiser? Enquanto ao bruteforce encontrei uma vulnerabilidade no seu sistema de login, os tutoriais na internet que vi era sempre uma pessoa no kali linux usando hydra e pegando o ip de um site (como vou colocar um ip se é um aplicativo?) Desculpa a ignorância, tenho poucas semanas de estudo.

Na verdade o código que me refiro é ao código fonte do aplicativo. Se você conseguir descompilar e acessá-lo então poderá entender como ele funciona e/ou modificá-lo.

Você mencionou um sistema de login, se esse sistema de login estiver dentro do aplicativo então você poderá entender como ele funciona e aí você pode encontrar uma maneira de "bypassalo".

Por exemplo se ele for offline então é provável que ele possua as credenciais hard-coded (dados dentro do código). Não é difícil encontrar esse tipo de coisa, mas vai requerer no mínimo conhecimento em lógica de programação e java básico.

Recomendo que leia este white-paper (mesmo se não possuir muito conhecimento técnico. [inglês]):
You are not allowed to view links. Register or Login

Este artigo também pode te ajudar (inglês):
You are not allowed to view links. Register or Login

- Bons estudos.
« Última modificação: 16 de Setembro de 2020, 00:57 por muhx »


Offline ReddyyZ

  • L4MM3R
  • *
    • Posts: 43
    • Blog
  • Liked: 11
  • Likes Given: 4
You are not allowed to view links. Register or Login
Então conseguindo esse código eu consigo invadir o APK e fazer oq eu quiser? Enquanto ao bruteforce encontrei uma vulnerabilidade no seu sistema de login, os tutoriais na internet que vi era sempre uma pessoa no kali linux usando hydra e pegando o ip de um site (como vou colocar um ip se é um aplicativo?) Desculpa a ignorância, tenho poucas semanas de estudo.

Usando o wireshark interceptando todos os dados do seu celular, caso não for criptografado você pode conseguir o IP do servidor que você se conecta e como funciona a requisição, e ai criar um script de brute-force para esse servidor
« Última modificação: 10 de Outubro de 2020, 11:12 por ReddyyZ »
Como iniciar no hacking: You are not allowed to view links. Register or Login
Youtube:


Offline Toreto10

  • L4MM3R
  • *
    • Posts: 6
  • Liked: 0
  • Likes Given: 0
You are not allowed to view links. Register or Login
Na verdade o código que me refiro é ao código fonte do aplicativo. Se você conseguir descompilar e acessá-lo então poderá entender como ele funciona e/ou modificá-lo.

Você mencionou um sistema de login, se esse sistema de login estiver dentro do aplicativo então você poderá entender como ele funciona e aí você pode encontrar uma maneira de "bypassalo".

Por exemplo se ele for offline então é provável que ele possua as credenciais hard-coded (dados dentro do código). Não é difícil encontrar esse tipo de coisa, mas vai requerer no mínimo conhecimento em lógica de programação e java básico.

Recomendo que leia este white-paper (mesmo se não possuir muito conhecimento técnico. [inglês]):
You are not allowed to view links. Register or Login

Este artigo também pode te ajudar (inglês):
You are not allowed to view links. Register or Login

- Bons estudos.



Você consegue invadir esse site de aposta
You are not allowed to view links. Register or Login
Se você conseguir pegar a senha de Adm 
Quero apenas apagar do sistema bilhetes que não foram premiados

EU PAGO


Offline Koematachi San

  • C0D3R
  • ****
    • Posts: 271
  • Liked: 90
  • Likes Given: 7
Uma alternativa é usar um emulador como por exemplo o do Android Studio e pegar o network.
Além disso, também dá pra usar o apatedns após emular.


 

* CaveiraTech YouTube

* Facebook

Guilherme Junqueira
04 de Fevereiro de 2019, 18:01 por Guilherme Junqueira
Views: 67041 | Comments: 27

Infelizmente a seção de Grupos de estudos do fórum estava sendo usada por organizações criminosas para recruta...
Guilherme Junqueira
27 de Julho de 2018, 17:30 por Guilherme Junqueira
Views: 43358 | Comments: 64

Pessoal, estou pensando seriamente na possibilidade de criar um novo fórum, só que voltado 100% à programação....
Guilherme Junqueira
26 de Junho de 2018, 20:25 por Guilherme Junqueira
Views: 25609 | Comments: 41

Resolvi fazer uma enquete para ver qual o posicionamento político da maioria aqui no fórum. O Alobus já fez um...
Guilherme Junqueira
20 de Junho de 2018, 12:56 por Guilherme Junqueira
Views: 30800 | Comments: 63

Últimamente o fórum vem sofrendo com muitas pessoas postando pirataria e esse não é o intuito do mesmo. A pira...
Guilherme Junqueira
20 de Fevereiro de 2018, 20:18 por Guilherme Junqueira
Views: 19185 | Comments: 4

Boa noite pessoal, venho apresentar para vocêsYou are not allowed to view links. Register or Login...

* Equipe

Guilherme Junqueira admin Guilherme Junqueira
Administrador
Luiz Viana admin Luiz Viana
Administrador
Alobus gmod Alobus
Moderador Geral

* Tópicos Recentes