[發明專利]一種針對安卓原生app漏洞的靶場系統在審
| 申請號: | 202010750116.2 | 申請日: | 2020-07-30 |
| 公開(公告)號: | CN111881458A | 公開(公告)日: | 2020-11-03 |
| 發明(設計)人: | 朱志權;趙俊;單夏燁;任新新;段吉瑞 | 申請(專利權)人: | 光通天下網絡科技股份有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;G06F9/455;G06F8/71;G06F8/61 |
| 代理公司: | 江蘇圣典律師事務所 32237 | 代理人: | 于瀚文;胡建華 |
| 地址: | 321017 浙江省金華市婺城*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 針對 原生 app 漏洞 靶場 系統 | ||
1.一種針對安卓原生app漏洞的靶場系統,其特征在于,所述系統通過如下方式建立:
在云服務器里面下載一個docker鏡像Docker-Android作為基礎鏡像,然后用所述基礎鏡像啟動一個docker容器,接著在宿主機用adb工具安裝好有漏洞的apk,部署好題目的所有環境,然后封裝成docker鏡像保存在本地。
2.根據權利要求1所述的系統,其特征在于,所述docker鏡像Docker-Android能夠用于與移動網站測試和Android項目相關的所有操作。
3.根據權利要求2所述的系統,其特征在于,所述有漏洞的apk是用安卓原生代碼寫的一個具有對應漏洞的程序。
4.根據權利要求3所述的系統,其特征在于,所述adb工具用于通過電腦端與模擬器或者真實設備交互;
所述apk的安裝和部署題目的所有環境的操作都是由安裝了adb工具的宿主機通過相應的adb命令來進行操作;
當生成題目環境的時候,通過對應的題目鏡像啟動一個docker容器生成做題環境。
5.根據權利要求4所述的系統,其特征在于,所述生成題目環境的操作是利用docker命令對已經封裝好安卓環境的docker鏡像生成和啟動一個docker容器,并做好端口的映射,以供adb工具連接的時候使用。
6.根據權利要求5所述的系統,其特征在于,當系統接收到用戶上傳的apk,即觀點證明poc,將其保存到本地的臨時文件夾里。
7.根據權利要求6所述的系統,其特征在于,所述觀點證明poc是用戶用安卓原生代碼寫的能夠對漏洞進行漏洞證明的一個安卓原生apk程序。
8.根據權利要求7所述的系統,其特征在于,用appium-python框架編寫腳本,首先利用adb工具連接好安卓模擬器,再利用腳本運行具有對應漏洞的apk,隨機生成一段數字并得到其哈希值,將哈希值作為正確的答案的標志flag保存在宿主機中安裝好有漏洞的apk里面,接著運行用戶上傳的觀點證明poc,如果漏洞利用成功就會在日志上輸出flag,最后生成一個app運行日志反饋給用戶以供查看。
9.根據權利要求8所述的系統,其特征在于,利用appium-python框架提供的api函數編寫自動化腳本,然后通過終端命令運行腳本即能夠對app實現自動化的操作;
所述隨機生成一段數字并得到其哈希值,是利用random函數生成一段隨機數并用md5加密得到的值;
所述生成一個app運行日志是通過腳本把app運行過程中的日志進行保存,并過濾出一個特定的輸出日志的標簽名tag的日志保存在本地并反饋給用戶。
10.根據權利要求9所述的系統,其特征在于,用戶在前端能夠查看生成的app運行日志,查看poc運行的詳細過程以及是否輸出了flag,并能夠提交flag,當系統接收到用戶提交上來的flag,把它和之前保存的哈希值進行對比,如果一致則表示正確得到了保存在有漏洞apk的特定的值,并將結果反饋給用戶。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于光通天下網絡科技股份有限公司,未經光通天下網絡科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010750116.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種汽車真空助力制動系統
- 下一篇:兒童咽部圖像采集裝置
