Tip

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Sfoglia il catalogo completo di HackTricks Training per i percorsi di assessment (ARTA/GRTA/AzRTA) e Linux Hacking Expert (LHE).

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord, al gruppo telegram, segui @hacktricks_live su X/Twitter, oppure controlla la pagina LinkedIn e il canale YouTube.
• Condividi hacking tricks inviando PR ai repository github HackTricks e HackTricks Cloud.

Alcune applicazioni non gradiscono i certificati scaricati dagli utenti, quindi per ispezionare il traffico web di alcune app dobbiamo effettivamente decompilare l’applicazione, aggiungere alcune cose e ricompilarla.

Automatico

Lo strumento https://github.com/shroudedcode/apk-mitm apporterà automaticamente le modifiche necessarie all’applicazione per iniziare a catturare le richieste e disabiliterà anche il certificate pinning (se presente).

Manuale

Prima decompiliamo l’app: apktool d *file-name*.apk

Poi andiamo nel file Manifest.xml e scorriamo fino al tag <\application android> e aggiungiamo la seguente riga se non è già presente:

android:networkSecurityConfig="@xml/network_security_config"

Prima di aggiungere:

Dopo aver aggiunto:

Ora andiamo nella cartella res/xml e creiamo/modifichiamo un file chiamato network_security_config.xml con i seguenti contenuti:

<network-security-config>
<base-config>
<trust-anchors>
<!-- Trust preinstalled CAs -->
<certificates src="system" />
<!-- Additionally trust user added CAs -->
<certificates src="user" />
</trust-anchors>
</base-config>
</network-security-config>

Quindi salva il file e esci da tutte le directory e ricostruisci l’apk con il seguente comando: apktool b *folder-name/* -o *output-file.apk*

Infine, devi solo firmare la nuova applicazione. Leggi questa sezione della pagina Smali - Decompiling/[Modifying]/Compiling per imparare come firmarlo.

Tip

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Sfoglia il catalogo completo di HackTricks Training per i percorsi di assessment (ARTA/GRTA/AzRTA) e Linux Hacking Expert (LHE).

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord, al gruppo telegram, segui @hacktricks_live su X/Twitter, oppure controlla la pagina LinkedIn e il canale YouTube.
• Condividi hacking tricks inviando PR ai repository github HackTricks e HackTricks Cloud.