[안드로이드 모의해킹 실습] 개요

[안드로이드 모의해킹 실습] 개요

직접 연구하여 작성한 자료입니다. 공식 출처가 명시되지 않은 자료의 무단 복제, 사용을 금지합니다. 공격 기법은 학습용, 허가된 환경에서 실습 바랍니다. 실 운영망 대상 공격은 처벌받습니다. (정보통신망법 제48조 1항) 개요 모바일 모의해킹 과정으로, OWASP 모바일 애플리케이션 보안 검증 표준(MASVS)의 관련 항목에 대한 실습 및 심층 탐구 OWASP TOP 10 항목과 더불어 CTF나 버그바운티 등 리얼 월드에 적용 가능한 기법 학습 모바일 앱 취약점 진단 가능 모바일 모의해킹의 이해 모바일 운영체제를 이해할 수 있다. 모바일 모의해킹을 통해 취약점을 식별할 수 있다. 모바일 보안 생태계 모바일 보안 아키텍처 및 구성요소 모바일 앱 서명, 샌드박스 및 프로비저닝 모바일 앱 및 파일시스템 다루는..

  • format_list_bulleted Security/Mobile
  • · 2023. 2. 18.
  • textsms
[iOS] frida 16 설치 오류 해결

[iOS] frida 16 설치 오류 해결

기존 설치 방법 1. Cydia 소스 등록 https://build.frida.re/ 2. 트윅 검색 및 설치 frida 문제 Cydia에서 Frida 설치 시 deb 패키지 오류로 설치가 되지 않는 문제 발생 dpkg-deb --control subprocess returned error exit status 2 Sub-process /usr/libexec/cydia/cydo returned an error code (1) https://github.com/frida/frida/issues/2355 해결 1(권장) ## 23.01.10 수정: 기존 15버전으로 설치를 안내했지만, 16.0.1 버전 직접 설치 시 사용 가능함을 확인하여 포스트를 수정하였다. frida github에서 16.0.1버전 다운..

  • format_list_bulleted Security/Mobile
  • · 2022. 12. 31.
  • textsms
[모바일 모의해킹] NoPE로 TCP 패킷 조작하기

[모바일 모의해킹] NoPE로 TCP 패킷 조작하기

1. 들어가며 Burp 인증서 설치 및 안드로이드 패킷 스니핑에 이어 NoPE 플러그인을 이용하여 TCP 패킷을 조작하는 실습을 진행한다. 2. NoPE 설치 Burp Suite > Extender > NoPE Proxy 설치 (검색 결과 우측 탭에서 아래로 스크롤하면 Install 있다.) 또는 공식 깃허브(https://github.com/portswigger/nope-proxy)에서 직접 설치할 수 있다. 3. Proxy Setting [실습환경] 실습PC: Windows 10 (유선랜 연결된 상태) IP: 192.168.0.33 실습기기: Samsung Galaxy 7(실습 PC와 같은 네트워크 내 위치) IP: 192.168.0.22 [분석도구] Burp Suite(NoPE Proxy) [PC ..

  • format_list_bulleted Security/Mobile
  • · 2022. 12. 24.
  • textsms
[모바일 모의해킹] 아이폰 7 ios 14.2 탈옥

[모바일 모의해킹] 아이폰 7 ios 14.2 탈옥

아이폰 7, iOS 14.2 탈옥 준비 - 리눅스 host PC(또는 mac) - 8G 이상의 USB - 아이폰 데이터 케이블(정품 USB-A Type) - 탈옥을 지원하는 아이폰 탈옥 가능 버전 확인(https://ios.cfw.guide/get-started/select-iphone/) 아이폰 7의 경우 탈옥이 가능한 버전이 정해져 있다.(22년 12월 기준 아래와 같다.) 필자의 경우 아이폰7(14.6)버전 및 Checkra1n으로 시도하였으나 지원하지 않는 버전임을 확인하고 새로운 기기를 구하였다. 아이폰은 특정 버전으로의 업그레이드, 다운그레이드가 불가능하다. 자동업데이트를 해제하고 탈옥이 가능한 버전이 될 때까지 기다리거나 중고시장에서의 매입이 필요하다. 탈옥 과정 (https://www.co..

  • format_list_bulleted Security/Mobile
  • · 2022. 12. 17.
  • textsms
Android aab파일 설치하기 / apk파일로 변환하기

Android aab파일 설치하기 / apk파일로 변환하기

Android aab 파일 설치를 위한 과정을 소개한다. AAB(Android App Bundle) 안드로이드 앱 번들은 앱 개발, 출시 단계에서 설치 파일의 최적화(용량, 속도)등을 위해 제안된 새로운 파일 형식이다. 기존 APK파일의 경우 다국어 지원을 위한 언어정보, CPU 정보, 해상도 별 리소스 파일이 apk 파일 내에 전부 존재했다면 AAB는 이러한 정보들을 플레이스토어에서 관리하여 사용자가 앱 다운로드 요청 시에 리소스 파일들을 재조합하여 구글플레이의 서명키로 서명한 다음 APK 파일 형태로 제공한다. 자세한 내용은 안드로이드 개발자 공식 홈페이지에서 소개하고 있다.(https://developer.android.com/platform/technology/app-bundle?hl=ko) 하지..

  • format_list_bulleted Security/Mobile
  • · 2022. 4. 13.
  • textsms
[Nox] 안드로이드 버프 인증서 설치(Android 7.0+)

[Nox] 안드로이드 버프 인증서 설치(Android 7.0+)

1. Nox 안드로이드 모의해킹에서 녹스는 앱의 에뮬레이팅을 통한 동적 분석, 루트(Root)권한 설정 및 해제가 용이하여 자주 활용한다. 다만 에뮬레이터 환경에서 동작하는 만큼 에뮬레이터 탐지가 적용된 앱의 경우 실행이 어렵다는 단점이 있다. 하지만 진단기기 준비의 어려움 물리적으로 다른 기기에서의 교차진단이 필요할 경우 사용할 수 있는 대안이 될 수 있다. 2. 환경 녹스(Nox) 플레이어 7.0.2.1(설치 : kr.bignox.com/) Burp Suite(Community Edition 2022.5.1) 3. 권장 설정(옵션) 필수 설정은 아니지만 모의해킹 수행을 위한 Nox 설정을 안내한다. (필수) 시스템 설정 > 일반 > 시작항목 > ROOT켜기 (옵션) 시스템 설정 > 성능 > 그래픽 모..

  • format_list_bulleted Security/Mobile
  • · 2022. 3. 31.
  • textsms