Una aplicación de Android vulnerable con ejemplos de ctf basados en hallazgos de recompensas de errores, conceptos de explotación y creatividad pura.
Configuración para un dispositivo físico
- Descarga injuredandroid.apk desde Github
- Habilite la depuración de USB en su teléfono de prueba de Android.
- Conecte su teléfono y su PC con un cable USB.
- Instalar a través de adb.
adb install injuredandroid.apk. Nota: debe utilizar la ruta absoluta al archivo .apk o estar en el mismo directorio.
- Descargue el archivo apk.
- Inicie el emulador desde Android Studio (recomiendo descargar un emulador con las API de Google para que se pueda habilitar root adb).
- Arrastre y suelte el archivo .apk en el emulador e injuredandroid.apk se instalará.
Sugerencias y descripción general de CTF
Se recomienda descompilar la aplicación de Android.
- XSSTEST es solo por diversión y para crear conciencia sobre cómo las WebViews pueden volverse vulnerables a XSS.
- Las banderas de inicio de sesión solo necesitan que se envíe la bandera.
- Los indicadores sin envío que demuestren conceptos se registrarán automáticamente en la Actividad "Descripción general de indicadores".
- Las dos últimas banderas no se registran porque actualmente no existe un método de verificación remota (planeo cambiar esto en una actualización futura). Esto se hizo para evitar el uso de métodos de bandera anteriores para omitir las técnicas de explotación.
- Hay una bandera con una llave de regalo de 1 mes de Pentesterlab. La clave se almacena en una nota autodestructiva después de que se lee, no cierre la pestaña del navegador antes de copiar la url.
- Los botones de exclamación en la parte inferior derecha le darán a los usuarios hasta tres consejos para cada bandera.
No hay comentarios:
Publicar un comentario