Reverse APK

[sleepknot]

Всем привет, это продолжения моей проблемы (/threads/69648/).
После того как я, перепробовал все методы обхода/снифа android. Я решил не сдаваться и начал искать другие методы как достать API вызовы из APK.
Ну и очевидно первое в голову пришел реверс). Меня напугала эта идея, тк я не знаю ЯП java. Но, после того как я, посмотрел видос про реверс APK. Я успокоился, тк он схож с ЯП Си, а его я уже +- хорошо знаю.
Ну я и пришел сюда, задать вопрос у людей которые знают больше меня. Есть ли смысл реверсить АПК и найду ли я так API вызовы?.И какие инструменты мне нужны для комфорной работы?. Какие трудности меня ожидают? И есть ли защиты от реверса и могут ли они мне помешать посмотреть API вызовы?
Заранее спасибо!
Проблеме этой уже месяц и сделать я ничего не могу( Надеюсь на вас!

 

[DoKitO]

Всем привет, это продолжения моей проблемы (/threads/69648/).
После того как я, перепробовал все методы обхода/снифа android. Я решил не сдаваться и начал искать другие методы как достать API вызовы из APK.
Ну и очевидно первое в голову пришел реверс). Меня напугала эта идея, тк я не знаю ЯП java. Но, после того как я, посмотрел видос про реверс APK. Я успокоился, тк он схож с ЯП Си, а его я уже +- хорошо знаю.
Ну я и пришел сюда, задать вопрос у людей которые знают больше меня. Есть ли смысл реверсить АПК и найду ли я так API вызовы?.И какие инструменты мне нужны для комфорной работы?. Какие трудности меня ожидают? И есть ли защиты от реверса и могут ли они мне помешать посмотреть API вызовы?
Заранее спасибо!
Проблеме этой уже месяц и сделать я ничего не могу( Надеюсь на вас!

dex2jar and then either use recaf or bytecodeviewer.
Have fun

 

[sleepknot]

dex2jar and then either use recaf or bytecodeviewer.
Have fun

)Thanks

 

[DoKitO]

)Thanks

No Worries & I hope your finding your api calls soon.

 

[0x5h3ll]

Мне кажется ты смотришь чуть чуть не туда. попробуй байпаснуть ssl pinning с помощью фриды https://infosecwriteups.com/hail-frida-the-universal-ssl-pinning-bypass-for-android-e9e1d733d29

 

[sleepknot]

Мне кажется ты смотришь чуть чуть не туда. попробуй байпаснуть ssl pinning с помощью фриды https://infosecwriteups.com/hail-frida-the-universal-ssl-pinning-bypass-for-android-e9e1d733d29

) Я делал это уже, и не раз
Я разные байпасы перепробовал, а фриду вообще первой юзал

 

[sleepknot]

После запуска байпаса, приложуха просто не отправляет запросы. Пишет что проблема с интернетом или что проблема с сертификатом

 

[0x5h3ll]

Ну вероятнее всего есть доп проверки. если приложение связанно с финансами или оплатой то оно 100% проходило сертификацию Visa & Mastercard и там скорее всего все паблики проверяли.

 

[sleepknot]

Ну вероятнее всего есть доп проверки. если приложение связанно с финансами или оплатой то оно 100% проходило сертификацию Visa & Mastercard и там скорее всего все паблики проверяли.

Да, приложение на финансовую тематику. Как понять "проходило сертификацию Visa & Mastercard и там скорее всего все паблики проверяли"?
Тоесть, паблик обходы они фиксанули?

 

[0x5h3ll]

Да, приложение на финансовую тематику. Как понять "проходило сертификацию Visa & Mastercard и там скорее всего все паблики проверяли"?
Тоесть, паблик обходы они фиксанули?

С вероятностью 99% так что тебе надо искать иные способо. через туже фриду понять какая функция вызывает проверну ssl pinning. и думать как ее обходить )

 

[th3tr0ll]

You might also try other application made with the purpose of performing SSL Unpinning as each of them implements and applies the techniques to perform the bypass in different ways.
As I understand Frida is not unpinning the correct function in your case so you get this SSL Verification Issue; what I would try is looking at the frida logs while getting the error to understand where the issue is and add it to the .js script you're currently using.