hacktricks/mobile-pentesting/android-app-pentesting/react-native-application.md
Translator workflow 35c6b081d2 Translated to Greek
2024-02-10 22:40:18 +00:00

6.9 KiB
Raw Blame History

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Ανάλυση Εφαρμογής React Native

Για να επιβεβαιώσετε αν η εφαρμογή έχει κατασκευαστεί με το πλαίσιο React Native, ακολουθήστε αυτά τα βήματα:

  1. Μετονομάστε το αρχείο APK με κατάληξη zip και εξαγάγετε το σε ένα νέο φάκελο χρησιμοποιώντας την εντολή cp com.example.apk example-apk.zip και unzip -qq example-apk.zip -d ReactNative.

  2. Πλοηγηθείτε στον νεοδημιουργηθέντα φάκελο ReactNative και εντοπίστε τον φάκελο assets. Μέσα σε αυτόν τον φάκελο, θα πρέπει να βρείτε το αρχείο index.android.bundle, το οποίο περιέχει τον κώδικα React JavaScript σε μια συμπιεσμένη μορφή.

  3. Χρησιμοποιήστε την εντολή find . -print | grep -i ".bundle$" για να αναζητήσετε το αρχείο JavaScript.

Για περαιτέρω ανάλυση του κώδικα JavaScript, δημιουργήστε ένα αρχείο με όνομα index.html στον ίδιο φάκελο με τον παρακάτω κώδικα:

<script src="./index.android.bundle"></script>

Μπορείτε να ανεβάσετε το αρχείο στη διεύθυνση https://spaceraccoon.github.io/webpack-exploder/ ή να ακολουθήσετε αυτά τα βήματα:

  1. Ανοίξτε το αρχείο index.html στον Google Chrome.

  2. Ανοίξτε την Εργαλειοθήκη Προγραμματιστή πατώντας Command+Option+J για OS X ή Control+Shift+J για Windows.

  3. Κάντε κλικ στο "Sources" στην Εργαλειοθήκη Προγραμματιστή. Θα πρέπει να δείτε ένα αρχείο JavaScript που είναι χωρισμένο σε φακέλους και αρχεία, αποτελώντας τον κύριο δέμα.

Εάν βρείτε ένα αρχείο με το όνομα index.android.bundle.map, θα μπορείτε να αναλύσετε τον πηγαίο κώδικα σε μη ελαττωμένη μορφή. Τα αρχεία χαρτογράφησης περιέχουν αντιστοίχιση πηγαίου κώδικα, που σας επιτρέπει να αντιστοιχίσετε ελαττωμένους αναγνωριστικούς.

Για να αναζητήσετε ευαίσθητα διαπιστευτήρια και σημεία πρόσβασης, ακολουθήστε αυτά τα βήματα:

  1. Αναγνωρίστε ευαίσθητες λέξεις-κλειδιά για να αναλύσετε τον κώδικα JavaScript. Οι εφαρμογές React Native συχνά χρησιμοποιούν υπηρεσίες τρίτων όπως το Firebase, τα σημεία πρόσβασης της υπηρεσίας AWS S3, ιδιωτικά κλειδιά κ.λπ.

  2. Σε αυτήν τη συγκεκριμένη περίπτωση, παρατηρήθηκε ότι η εφαρμογή χρησιμοποιούσε την υπηρεσία Dialogflow. Αναζητήστε ένα πρότυπο που σχετίζεται με τη διαμόρφωσή της.

  3. Είχε την τύχη να βρεθούν ευαίσθητα σταθερά διαπιστευτήρια που είχαν καταχωρηθεί σκληρά στον κώδικα JavaScript κατά τη διάρκεια της διαδικασίας αναγνώρισης.

Αναφορές

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks: