C
Глянь, может в логах чего интересного будет
Size: a a a
2019 January 08
A
Глянь, может в логах чего интересного будет
В логах чего именно?
A
mobile-pentest-toolkit/frida-sslpinning-disable.js at master · coreb1t/mobile-pentest-toolkit · GitHub
https://github.com/coreb1t/mobile-pentest-toolkit/blob/master/scripts/frida/frida-sslpinning-disable.js
https://github.com/coreb1t/mobile-pentest-toolkit/blob/master/scripts/frida/frida-sslpinning-disable.js
C
В логах чего именно?
Вытаскивал логи logcat'ом, там много инфы было и системной и от приложек отдельных
A
mobile-pentest-toolkit/frida-sslpinning-disable.js at master · coreb1t/mobile-pentest-toolkit · GitHub
https://github.com/coreb1t/mobile-pentest-toolkit/blob/master/scripts/frida/frida-sslpinning-disable.js
https://github.com/coreb1t/mobile-pentest-toolkit/blob/master/scripts/frida/frida-sslpinning-disable.js
Попробуй этот скрипт запустить
A
Вытаскивал логи logcat'ом, там много инфы было и системной и от приложек отдельных
Возьми pidcat, тогда логи только от одного эппа будут показываться
https://github.com/JakeWharton/pidcat/
https://github.com/JakeWharton/pidcat/
A
S
Друзья, может мне кто-то помочь.
Есть приложение, мне нужно произвести кое какую автоматизацию, ничего плохого одним словом. Чтобы это сделать мне нужно получить доступ к api.
Я пытался установить корневой сертификат, установить прокси и отследить данные через fiddler. Приложение не работает ссылаясь на проблемы с сетью
Я пытался через jadx посмотреть исходный код, получилось найти только роуты, но передаваемые данные отследить очень сложно, переменные не имею четких названий, и все происходит через несколько различных классов.
Я пытался установить frida server, и заюзать этот скрипт https://codeshare.frida.re/@pcipolloni/universal-android-ssl-pinning-bypass-with-frida/ но приложение также не поддалось, другие запускаются, это нет.
И пытался отредактировать этот участок кода https://i.imgur.com/3kXjjBr.png искал что-то на стековерфлоу, но ничего не смог найти подходящего.
Не знаю есть ли какие-то еще варианты. Может кто-то сталкивался с такой проблемой и знает решение?
Есть приложение, мне нужно произвести кое какую автоматизацию, ничего плохого одним словом. Чтобы это сделать мне нужно получить доступ к api.
Я пытался установить корневой сертификат, установить прокси и отследить данные через fiddler. Приложение не работает ссылаясь на проблемы с сетью
Я пытался через jadx посмотреть исходный код, получилось найти только роуты, но передаваемые данные отследить очень сложно, переменные не имею четких названий, и все происходит через несколько различных классов.
Я пытался установить frida server, и заюзать этот скрипт https://codeshare.frida.re/@pcipolloni/universal-android-ssl-pinning-bypass-with-frida/ но приложение также не поддалось, другие запускаются, это нет.
И пытался отредактировать этот участок кода https://i.imgur.com/3kXjjBr.png искал что-то на стековерфлоу, но ничего не смог найти подходящего.
Не знаю есть ли какие-то еще варианты. Может кто-то сталкивался с такой проблемой и знает решение?
в андроид студио открывть пробовал?
A
в андроид студио открывть пробовал?
пробовал, но там же рут нужен, а его нет
S
в эмуляторе открыть рут не нужен
S
точнее запустить
A
в эмуляторе открыть рут не нужен
запустить да, но для приложений которые позволяют посмотреть запросы, он нужен, поэтому этот вариант мне не подошёл
S
эм, в эмуляторе же все должно быть. Хотя может я чего-то не помнимаю. Как-то смотрел запросы приложения из гугл плея (скачал и открыл в андроид сутдии)
T
можно же в настройках сети завернуть весь трафик на проксю, которая будет burp'ом
A
можно же в настройках сети завернуть весь трафик на проксю, которая будет burp'ом
если просто пустит через прокси получим вот такой результат
https://i.imgur.com/87DqGcr.png
https://i.imgur.com/87DqGcr.png
A
Бывает редко что ssl-pinning для различных API endpoints по разному реализован. Может не все отключил. Смотри логи или попробуй трайсить
https://github.com/dpnishant/appmon/wiki/9.-Usage-Guide:-AppMon-Android-Tracer
https://github.com/dpnishant/appmon/wiki/9.-Usage-Guide:-AppMon-Android-Tracer
S
можешь апк кинуть?
T
И до этого чата добралась реклама 1хбет..
A
На одном домене все видно, на другом нет
https://i.imgur.com/tnMN1hm.png
https://i.imgur.com/4lgslDZ.png
https://i.imgur.com/tnMN1hm.png
https://i.imgur.com/4lgslDZ.png
A
можешь апк кинуть?
