1. 项目概述与核心价值如果你是一名移动安全研究员、渗透测试工程师或者是一名对Android应用安全充满好奇的开发者那么“InsecureBankv2”这个名字你一定不陌生。它不是一个真实的银行应用而是一个由安全专家精心设计的、故意包含大量安全漏洞的Android应用。它的唯一目的就是成为我们学习和练习移动应用安全测试的“活靶场”。今天我们不谈枯燥的理论直接上手从零开始带你完成InsecureBankv2的完整安装、部署、配置并深入其内部剖析那些经典的漏洞场景。这不仅仅是一个教程更像是一次完整的实战演练笔记我会把过程中每一个可能卡住你的细节、每一个工具背后的原理以及我踩过的那些坑都毫无保留地分享出来。为什么是InsecureBankv2因为在移动安全测试领域理论知识和实战能力之间往往隔着一道鸿沟。你或许知道OWASP Top 10但面对一个真实的APK文件从哪里入手如何搭建测试环境如何触发一个SQL注入漏洞如何利用不安全的组件通信InsecureBankv2将这些抽象的概念具象化它模拟了一个银行应用的典型功能——登录、转账、查看余额、修改资料但每一步都暗藏玄机。通过亲手“攻破”它你能获得的不仅仅是几个漏洞利用的技巧更是一套完整的、可复用的Android应用安全测试方法论。无论你是想入门移动安全还是想巩固自己的实战技能这个“靶场”都是绝佳的起点。2. 测试环境全栈搭建与原理剖析工欲善其事必先利其器。一个稳定、高效的测试环境是后续所有操作的基础。这里我们不追求最炫酷的配置而是追求最稳定、兼容性最好的方案确保你能一次成功把精力集中在漏洞挖掘本身。2.1 核心工具选型与安装策略我们的环境将围绕三个核心展开Android应用运行环境、动态测试工具和静态分析工具。1. Android运行环境物理设备 vs. 虚拟机/模拟器这是一个首要决策点。我强烈推荐使用Android Studio自带的官方模拟器AVD而不是Genymotion等第三方模拟器或物理手机。原因有三第一兼容性最佳尤其是对于需要与ADB深度交互、安装各种Frida/Gadget等复杂操作官方模拟器几乎不会出现诡异问题第二快照功能无敌你可以随时保存一个干净的、配置好代理和工具的系统状态测试完一键恢复效率极高第三性能可控我们可以为其分配足够的CPU和内存资源。当然物理手机需Root有其优势比如可以测试一些依赖特定传感器或硬件的漏洞但对于InsecureBankv2的学习而言模拟器完全足够且避免了真机变砖或数据泄露的风险。注意如果你坚持使用物理手机请务必使用专门的测试机并备份所有数据。Root操作有风险且不同手机型号、系统版本的Root方法和ADB兼容性千差万别会引入大量不必要的环境问题。2. 动态测试瑞士军刀ADBAndroid Debug BridgeADB是连接你的电脑和Android设备的桥梁是后续所有操作的“总开关”。安装它最简单的方式就是通过Android Studio的SDK Manager。安装后请务必将ADB所在目录通常是[你的SDK路径]/platform-tools/添加到系统的PATH环境变量中。这样你才能在任意命令行窗口直接使用adb命令。验证安装打开命令行Windows的CMD或PowerShellMac/Linux的Terminal输入adb version。如果能看到版本号恭喜你第一步成功了。3. 静态分析利器反编译工具链对于InsecureBankv2我们主要使用以下工具进行静态代码审计Apktool用于反编译APK资源文件如图片、布局XML、字符串等得到近乎原始的res和AndroidManifest.xml文件。这对于快速分析应用结构、寻找暴露的组件Activity、Service等至关重要。dex2jar JD-GUI或JADX用于将APK中的Dex字节码文件转换为可读的Java源代码。我个人更推荐JADX它是一个集成的GUI工具可以直接打开APK文件将反编译、代码查看、搜索功能融为一体对新手极其友好效率也更高。安装这些工具只需从它们的GitHub发布页面下载最新版本解压到某个目录并将该目录加入PATH即可。对于JADX甚至提供了开箱即用的图形化程序。2.2 Android模拟器AVD的精细化配置打开Android Studio进入“Device Manager”点击“Create device”。在选择系统镜像时我建议选择 x86_64 架构的镜像例如 “Tiramisu”Android 13或 “Pie”Android 9。x86_64架构在电脑上运行效率远高于ARM架构因为你的电脑CPU本身就是x86_64的无需指令转换。在创建AVD的最后一页点击“Show Advanced Settings”进行几项关键配置内存与存储将RAM设置为至少2048MB内部存储Internal Storage设置为2048MB以上。这能保证应用运行流畅并有空间安装其他测试工具。网络代理暂时留空。我们后续会使用像Burp Suite这样的抓包工具届时需要在模拟器系统设置中手动配置代理而不是在这里写死这样更灵活。启动选项在“Additional command line options”中可以添加-writable-system参数可能需要通过编辑AVD的config.ini文件实现这有时对于需要挂载系统分区为可写以安装Frida等工具的场景有帮助但对于基础测试非必需。创建完成后启动模拟器。第一次启动可能较慢请耐心等待。启动后你应该能看到一个纯净的Android系统界面。2.3 建立ADB连接与基础验证启动模拟器后回到命令行输入adb devices。你应该能看到一个设备列表其中包含你的模拟器状态为device。这表示连接成功。如果显示unauthorized你需要在模拟器屏幕上弹出的“允许USB调试吗”对话框中点击“允许”。如果什么都没显示尝试重启ADB服务adb kill-server然后adb start-server。连接成功后我们可以进行一些基础操作来验证环境adb shell进入设备的Linux Shell环境。输入ls -la看看目录输入exit退出。adb install [apk路径]这是我们后续安装InsecureBankv2的命令。adb logcat实时查看设备日志这是动态测试中观察应用行为、寻找崩溃信息和调试输出的重要窗口。你可以用adb logcat | grep -i insecurebank来过滤只与该应用相关的日志。至此一个坚实的测试地基已经打好。这个环境不仅能用于InsecureBankv2也将是你未来进行任何Android应用安全测试的起点。3. InsecureBankv2的获取、安装与初步探索有了环境接下来就是请我们的“主角”登场。3.1 获取靶场应用与版本确认InsecureBankv2是一个开源项目托管在GitHub上。最直接的方式是访问其项目仓库例如搜索“dineshshetty/InsecureBankv2”在Release页面下载最新编译好的APK文件。通常文件名类似InsecureBankv2.apk。下载后我建议你使用adb install命令安装前先用adb install -r尝试安装。-r参数代表替换安装如果设备上已有旧版本可以覆盖。但更稳妥的做法是先使用adb uninstall com.android.insecurebankv2卸载旧版如果存在再安装新版。安装命令adb install /你的路径/InsecureBankv2.apk安装成功后命令行会显示Success。在模拟器的主屏幕或应用列表里你应该能找到名为“InsecureBankv2”的应用图标。3.2 应用首次启动与基础功能走查点击图标启动应用。你会看到一个登录界面。应用内置了测试账户用户名jack密码Jack123$输入后登录。成功进入后花几分钟时间浏览一下应用的主要功能模块这有助于你理解后续测试的上下文主页显示欢迎信息和用户余额一个虚假的数字。转账Transfer模拟向其他用户转账的功能这里有潜在的输入点。查看交易记录View Statements可能涉及数据库查询。修改密码Change Password另一个重要的输入和逻辑验证点。退出登录Logout。这个走查过程非常重要。在安全测试中理解应用的正常业务流Happy Path是发现异常流攻击路径的前提。同时留意应用的界面和交互思考哪些地方可能接收用户输入哪些操作会与后端虽然这个应用的后端可能是本地的或本地存储交互。3.3 静态分析第一瞥AndroidManifest.xml在开始动态测试前先进行快速的静态分析这能为我们指明方向。使用Apktool反编译APKapktool d InsecureBankv2.apk -o insecurebank_output解压后在insecurebank_output目录下找到并打开AndroidManifest.xml文件。这个文件是应用的“配置总纲”我们需要重点关注以下几点应用的包名package确认是com.android.insecurebankv2这与我们卸载时用的包名一致。导出的组件Exported Components查找android:exportedtrue的 Activity、Service、BroadcastReceiver 和 ContentProvider。导出的组件意味着可以被系统内或其他应用调用这是组件安全测试的重中之重。你很快会发现这个应用的很多组件都被故意设置为导出状态。权限声明uses-permission看看应用申请了哪些权限如网络、读写存储等。这暗示了应用可能的功能和攻击面。调试标志android:debuggable虽然正式版APK通常为false但作为测试靶场它可能被设为true这允许我们进行动态调试。用文本编辑器或IDE打开这个XML文件粗略浏览一遍。你会对应用的结构有一个宏观的认识并记下那些“可疑”的导出组件名称比如PostLogin、ViewStatement等这些都将是我们后续攻击的入口点。4. 动态安全测试实战漏洞挖掘与利用静态分析给了我们地图动态测试则是真正的探险。我们将使用工具与运行中的应用实时交互触发并验证漏洞。4.1 网络流量抓取与分析Burp Suite代理配置很多漏洞如认证绕过、敏感信息传输、参数篡改都发生在网络层面。我们需要捕获应用发出的所有HTTP/HTTPS请求。1. 配置Burp Suite代理启动Burp Suite社区版或专业版在Proxy - Options中确保代理监听在127.0.0.1:8080默认。记住这个地址和端口。2. 配置模拟器代理在运行的模拟器中进入系统设置 - 网络和互联网 - 高级 - 代理 - 手动。代理主机名10.0.2.2这是Android模拟器访问主机环回地址127.0.0.1的特殊别名。代理端口8080保存设置。3. 安装Burp的CA证书这是为了拦截HTTPS流量所必需的。在模拟器的浏览器中访问http://burp或http://10.0.2.2:8080点击“CA Certificate”下载证书文件通常为cacert.der。 下载后进入系统设置 - 安全 - 加密与凭据 - 从存储设备安装证书或类似路径。找到下载的证书文件为其命名如“PortSwigger CA”并安装。4. 测试抓包打开InsecureBankv2进行登录操作。回到Burp Suite确保Proxy - Intercept是“Intercept is on”状态。你应该能看到登录请求被捕获。查看请求中的参数如用户名、密码。你可以尝试修改这些参数比如把密码改成错误的再转发Forward观察应用的响应。这本身就是一种最简单的测试——参数篡改。实操心得有时候应用可能使用了证书绑定Certificate Pinning导致即使安装了CA证书HTTPS流量也无法解密。对于InsecureBankv2它可能故意关闭了证书验证以方便测试。如果遇到其他应用无法抓包的情况就需要使用Frida、Objection等工具来绕过证书绑定。4.2 不安全的组件通信漏洞利用还记得我们之前在AndroidManifest.xml里看到的那些导出的Activity吗现在我们来利用它们。案例直接调用受保护的Activity绕过登录假设我们发现一个名为com.android.insecurebankv2.PostLogin的Activity被导出。正常流程下用户需要先登录才能看到这个界面。但由于它被导出我们可以通过ADB命令直接启动它绕过登录检查。adb shell am start -n com.android.insecurebankv2/.PostLogin执行这条命令后观察模拟器你很可能会直接跳转到登录后的主界面而无需输入任何凭证。这就是一个典型的认证绕过漏洞。攻击者如果开发一个恶意应用在内部调用这个Intent就可以在用户无感知的情况下打开目标应用的敏感界面。深入利用通过Intent传递恶意参数更进一步许多导出的Activity会接收Intent附带的Extra数据。我们可以通过静态分析阅读反编译后的PostLogin代码或动态测试尝试传递参数看应用如何反应来发现这一点。 例如如果发现该Activity会读取一个名为username的Extra来显示用户信息我们可以尝试传递一个不同的用户名adb shell am start -n com.android.insecurebankv2/.PostLogin --es username “admin”如果应用未经验证就使用了这个传入的username就可能造成数据篡改或权限提升。4.3 输入验证漏洞SQL注入与XSSInsecureBankv2的许多输入点都可能存在漏洞。1. 本地SQL注入在“查看交易记录”或“搜索”功能中应用可能会将用户输入直接拼接到SQL查询语句中。我们可以通过Burp Suite拦截相关请求修改查询参数为经典的SQL注入Payload例如 将search_term参数修改为 OR 11观察响应。如果返回了所有交易记录而不是空结果或错误那么就证实了SQL注入漏洞的存在。你甚至可以尝试更复杂的Payload来探测数据库结构。2. WebView中的XSS跨站脚本如果应用内有使用WebView显示内容的模块例如显示一些HTML格式的通知并且该内容来源于用户可控的输入如转账备注那么就可能存在XSS。 测试方法在可能存在输入的地方尝试输入简单的HTML或JavaScript标签如scriptalert(‘XSS’)/script。提交后观察当这个内容在应用内被渲染时是否会弹出警告框。如果会说明WebView没有正确过滤输入存在XSS风险可能导致Cookie窃取或本地文件泄露。4.4 不安全的本地数据存储Android应用常将数据存储在本地如SharedPreferences、SQLite数据库或内部存储文件中。如果这些数据未加密或权限设置不当就可能被恶意应用读取。使用ADB Shell探查数据进入ADB Shelladb shell切换到应用数据目录cd /data/data/com.android.insecurebankv2/查看目录内容ls -la重点查看shared_prefs/目录存放SharedPreferences XML文件和databases/目录存放SQLite数据库文件。尝试读取这些文件cat shared_prefs/MyPrefs.xml或使用sqlite3命令查看数据库内容。如果你能直接看到明文存储的用户名、密码、会话令牌等敏感信息那么就发现了不安全的本地存储漏洞。在真实测试中你需要检查应用是否使用了Android提供的加密API如EncryptedSharedPreferences来保护这些数据。5. 进阶测试工具链集成与自动化探索基础漏洞手动验证后我们可以引入更强大的工具提升测试的深度和效率。5.1 使用Frida进行运行时动态插桩Frida是一个动态代码插桩工具它允许你在应用运行时注入JavaScript代码来Hook钩子Java/Native函数修改参数、返回值甚至改变程序逻辑。这对于绕过逻辑检查、解密数据、跟踪敏感API调用非常有效。1. 环境搭建在电脑上安装Fridapip install frida-tools根据模拟器架构x86_64下载对应的Frida-server从Frida的GitHub Release页面下载frida-server-x.x.x-android-x86_64.xz。解压得到frida-server文件通过ADB推送到模拟器adb push frida-server /data/local/tmp/在ADB Shell中赋予可执行权限并运行adb shellcd /data/local/tmpchmod 755 frida-server./frida-server 2. 基础Hook示例假设我们想监控登录时的密码验证函数。首先需要知道函数名。通过JADX反编译在代码中搜索“password”、“check”、“validate”等关键词找到疑似函数例如com.android.insecurebankv2.LoginActivity.verifyPassword。 编写一个JavaScript脚本hook.jsJava.perform(function() { var LoginActivity Java.use(‘com.android.insecurebankv2.LoginActivity’); LoginActivity.verifyPassword.implementation function(inputPassword) { console.log(“[] verifyPassword called with: “ inputPassword); var result this.verifyPassword(inputPassword); // 调用原函数 console.log(“[] verifyPassword returned: “ result); return result; // 可以修改返回值比如永远返回true }; });在电脑上执行frida -U -f com.android.insecurebankv2 -l hook.js --no-pause这将启动应用并注入脚本。当你尝试登录时就能在控制台看到输入的密码和验证结果。你甚至可以修改脚本让verifyPassword始终返回true从而实现任意密码登录的漏洞验证。5.2 使用MobSF进行自动化安全评估MobSFMobile Security Framework是一个自动化的一体化移动应用安全测试框架支持静态和动态分析。它可以快速给出一个安全评分和问题列表是一个很好的辅助和初筛工具。1. 本地部署MobSF最简单的方式是使用Dockerdocker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest然后在浏览器访问http://localhost:8000。2. 上传并分析APK在MobSF界面中上传InsecureBankv2的APK文件。MobSF会自动进行静态分析反编译、提取组件信息、权限分析、代码扫描查找硬编码密钥、不安全的API调用等。动态分析需配置模拟器和代理自动安装应用、进行基础交互、监控API调用、文件操作和网络流量。几分钟后你会得到一份详细的HTML报告里面列出了它发现的所有安全问题如导出的组件、不安全的权限、潜在的代码漏洞等。这份报告可以和你手动测试的结果相互印证也能帮你发现一些可能忽略的细节。6. 测试问题排查与经验沉淀在实际操作中你一定会遇到各种各样的问题。这里我总结了一些常见坑点和解决思路。6.1 环境与连接类问题问题1adb devices列表为空。排查首先确认模拟器已完全启动看到锁屏或主界面。尝试adb kill-server adb start-server。检查是否有多个ADB进程冲突。在Android Studio的Device Manager中查看模拟器状态是否正常。解决有时需要指定ADB端口连接例如对于Android Studio默认的模拟器可以尝试adb connect 127.0.0.1:5555。问题2Burp Suite抓不到HTTPS流量。排查确认模拟器代理设置正确主机10.0.2.2端口8080。确认Burp代理监听在所有接口0.0.0.0:8080。确认CA证书已正确安装并受信任在系统凭据的“用户”或“系统”标签页查看。解决尝试在模拟器浏览器访问http://burp确保能下载证书。对于新版Android可能需要将CA证书同时安装到“系统”凭据中这通常需要Root。对于InsecureBankv2检查其代码是否自定义了网络栈或关闭了证书验证可能是为了教学故意为之。问题3Frida连接失败或脚本不生效。排查执行frida-ps -U查看是否能列出设备进程。确认frida-server进程在设备上正常运行ps | grep frida。确认电脑和模拟器在同一网络对于USB连接的物理设备或端口转发正确。解决确保下载的frida-server版本与电脑端frida-tools版本兼容。对于模拟器有时需要关闭Android Studio的即时运行Instant Run功能。尝试以root权限运行frida-server在已root的设备上。6.2 应用与漏洞利用类问题问题1导出的Activity无法通过ADB启动或启动后闪退。排查使用adb logcat | grep -i insecurebank或adb logcat | grep -i fatal查看崩溃日志。很可能是因为该Activity需要特定的Intent Flag或Extra数据直接启动导致空指针异常。解决仔细阅读该Activity的onCreate方法反编译代码看它尝试获取哪些Intent参数。在am start命令中通过--es,--ei,--ez等参数提供必要的字符串、整型或布尔值Extra。问题2SQL注入Payload没有效果。排查首先确认你拦截的是正确的请求和参数。查看服务器响应是返回了错误信息、空白还是正常数据使用更通用的探测Payload如单引号‘看是否引发错误这本身就是注入点证明。可能应用使用了参数化查询从而免疫注入。解决尝试不同的注入点不同功能模块。尝试时间盲注Payload如 AND (SELECT sleep(5)) --观察响应是否延迟5秒。问题3静态分析代码时JADX反编译出的代码逻辑混乱或缺少方法体。排查应用可能经过了混淆Proguard。虽然InsecureBankv2可能未混淆但这是真实测试中的常见情况。解决结合动态分析。使用Frida去Hook关键方法打印参数和返回值来理解逻辑。使用adb logcat查看运行时打印的日志信息其中可能包含类名和方法名线索。对于混淆代码关注其“行为”而非“名称”比如它调用了哪些敏感的API如executeSql,getWritableDatabase,sendTextMessage等。6.3 测试思维与报告撰写心得1. 测试不是“乱点”每一个测试用例都应有其目的。例如测试SQL注入是为了验证“用户输入是否被安全地传递给数据库查询”。带着假设去测试并根据结果修正你的应用威胁模型。2. 关注漏洞链单个中低危漏洞可能不足为惧但组合起来就可能很危险。例如一个导出的Content Provider信息泄露结合一个可预测的Intent组件权限提升可能形成完整的攻击链。3. 记录与复现务必详细记录每一个成功的漏洞利用步骤使用的工具、命令、Payload、以及应用的响应。截图和日志非常重要。这不仅能用于编写报告也能在复现时节省大量时间。4. 报告要清晰一份好的安全测试报告应包括漏洞标题、风险等级、影响的组件/功能、详细的复现步骤像本教程一样、漏洞原理简述、修复建议。修复建议应具体可行例如“对username参数进行强类型验证和长度限制”而不是简单的“进行输入验证”。通过这个从环境搭建到漏洞挖掘再到问题排查的完整流程你不仅学会了如何“玩转”InsecureBankv2这个靶场更重要的是掌握了一套适用于大多数Android应用的安全测试基础流程和思维方法。记住工具和技术会迭代但这种主动探索、假设验证、层层深入的分析思维才是安全工程师最核心的能力。接下来你可以尝试用同样的方法去测试其他开源的有漏洞应用或者在自己的个人开发项目中有意识地去避免这些常见问题这才是学习的最终目的。