[AOS] 2. 모바일 진단 환경 구축 - DIVA, InsecureBankv2 앱 설치
- 2024.09.02 -
지난 이야기
https://eagerprotector.tistory.com/64
[AOS] 1. 모바일 진단 환경 구축 - Nox,Anaconda 설치 및 환경 세팅
- 2024.09.01 - 이번에는 모바일 진단을 하면서 배웠던가상환경 세팅 등 과정을 정리해보고자 한다.모바일 취약점 진단을 진행할 수 있는테스트 어플'INSECUREBANK'와 'DIVA'를 다뤄본다 Nox 설치 및 환
eagerprotector.tistory.com
DIVA 앱 설치
STEP1
DIVA란?
AOS 환경에서 사용하는 App에 대해 취약점 진단을 실습할 수 있는 환경을 제공
2016년 이후 업데이트 중단
https://github.com/0xArab/diva-apk-file
GitHub - 0xArab/diva-apk-file: DIVA (Damn insecure and vulnerable App) is an App intentionally designed to be insecure
DIVA (Damn insecure and vulnerable App) is an App intentionally designed to be insecure - 0xArab/diva-apk-file
github.com
다음 위 링크에서 Code를 눌러 ZIP파일로 다운로드
압축파일 내 있는 apk 파일을 Nox로 드래그 앤 드롭으로 설치
InsecureBankv2 앱 설치
STEP1
인시큐어앱은 파이썬2 버전에서 정상동작한다.
업데이트가 2019년 이후 중단되었기 때문에
최신 파이썬버전을 이용하면 오류가 발생할 수 있다.
https://www.python.org/downloads/release/python-2718/
Python Release Python 2.7.18
The official home of the Python Programming Language
www.python.org
파이썬 2.7.18버전 설치
인시큐어뱅크는 diva와는 다르게 독단적으로 실행되지 않는데
서버를 가상환경으로 만들어두는것이 필요하다.
인시큐어뱅크 서버 다운로드
https://github.com/dineshshetty/Android-InsecureBankv2/releases/tag/2.3.1
Release 2.3.1 · dineshshetty/Android-InsecureBankv2
2.3.1 Latest Updated Code to work with AndroidStudio 3.3.2
github.com
위 링크로 들어가게 되면 AndroLabServer.zip 와 그 밑에 있는 apk파일도 다운로드 받는다.
apk파일은 위에 diva처럼 녹스에 드래그앤 드랍 하면 자동으로 설치가 되고
zip파일은 한글경로가 없는 곳으로 이동해서 압축을 풀어준다
나같은 경우는 C드라이브 밑에 AOS이름으로 폴더를 만들어서 그 폴더에서 다 할 수 있도록 했다.
zip파일을 풀어서 보면 내부에 app.py 파일이 존재한다.
py파일을 notepad++ 등의 에디터로 열어본다.
3번째 줄을 다음과 같이 구문을 수정해준다.
from cheroot.wsgi import Server as CherryPyWSGIServer수정 후 저장.
설치 및 실행을 위한 기초적인 작업은 모두 끝났다.
이제 남은건 anaconda를 이용한 가상환경(env)설치가 남았다.
이제 다음 명령어를 입력해서 anaconda를 이용한 env 생성을 진행한다.
conda create -n py2 python=2.7.18 -y
각각의 명령어 뜻은 다음과 같다.
conda : anaconda 실행
create : 생성
옵션 -n : 이름(생성할 가장환경 이름)
python=2.7.18 : 파이썬 2.7.18 버전으로 셋팅
옵션 -y : y/n 묻는 질의에는 모두 Y로 처리
shell을 한번 초기화 해주고 가상환경 실행
conda init
conda activate py2
env를 시작하면 명령줄 앞에 (py2)라는게 하나 더 붙게된다.
이 상태로 조금전에 zip파일을 풀었던 경로로 cd 명령어를 이용해 이동한 뒤
그 안에 있는 python 코드를 실행하기 위한 requirements.txt 안에 있는 패키지를 모두 설치한다.
cd C:\AOS\AndroLabServer
pip install -r requirements.txt
경로는 사용자가 지정한 곳마다 다 달라질 수 있다.
이제 app.py를 실행하면
8888번 포트로 서버가 올라간것을 확인할 수 있다.
python app.py
다시 NOX로 돌아와서 인시큐어 앱을 열고 상단의 Preferences를 클릭
포트는 8888로 유지하고
IP만 개인 아이피로 입력하면된다
나는 공유기가 같이 설정이 되어있으므로
192.168.0.66로 설정.
이제 로그인을 하면은되는데
기본으로 제공되는 두가지 계정이 있다.
ID : dinesh
PW : Dinesh@123$
#
ID : jack
PW : Jack@123$
나는 그중 jack계정으로 로그인을 했다.
jack 계정으로 로그인을 하니
대기중이였던 곳에 바로 반응이 왔다
:)
'Red Team > AOS' 카테고리의 다른 글
| [AOS]4. ADB 연결 및 셋팅하기 (2) | 2024.09.29 |
|---|---|
| [AOS] 3. 모바일 진단 환경 구축 - InsecureBankv2 추출 및 리패키징. 하드코딩 확인하기(실습) (1) | 2024.09.03 |
| [AOS] 1. 모바일 진단 환경 구축 - Nox,Anaconda 설치 및 환경 세팅 (2) | 2024.09.01 |