一、工具简介
移动安全框架 (MobSF) 是一种自动化的一体化移动应用程序 (Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。MobSF 支持移动应用二进制文件(APK、XAPK、IPA 和 APPX)以及压缩源代码,并提供 REST API 以与您的 CI/CD 或 DevSecOps 管道无缝集成。动态分析器可帮助您执行运行时安全评估和交互式仪器测试。
二、环境安装
1、环境依赖
环境依赖: https://mobsf.github.io/docs/#/requirements
项目地址: https://github.com/MobSF/Mobile-Security-Framework-MobSF
备注:建议使用全局代理方式,不然可能会出现一些组件安装失败;Pythoy3.9,系统自带;建议使用Ubuntu 22.04,低版本会出现一些问题。
2、安装jdk8
apt update
apt-get install unzip openjdk-8-jdk -y
java -version
apt install python3-dev python3-venv python3-pip build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf adb -y三、安装MobSF
1、下载安装MobSF
先更换一下pip源,不然下载太慢会失败
https://blog.csdn.net/qq_41166909/article/details/130089516
https://blog.csdn.net/qq_41166909/article/details/130089516
wget https://github.com/MobSF/Mobile-Security-Framework-MobSF/archive/refs/tags/v3.7.6.zip
unzip v3.7.6.zip
mv Mobile-Security-Framework-MobSF-3.7.6/ mobsf
cd mobsf/ && ./setup.sh
汉化模板不太完整,有有一些报错,可以使用修改过的模板,具体见附件(最后确认运行正常了再上传)
https://gitee.com/liwanlei/mobsf_cn/tree/master/mobsf/templatesMobSec模板-templates.zip
2、运行服务
./run.sh3、登录
访问页面Ip:8000
四、动态调试
1、安装安卓模拟器
首先需要安装一个安卓模拟器,这里使用的是夜神模拟器7.0.5版,开启桥接模式,使MobSF跟安卓模拟器的网络能够相通。
踩坑:
Genymotion3.1模拟器APP无法安装,放弃使用;
夜神6.0.1, mobsf无法连接adb服务,放弃。
如果是雷电模拟器,需要在“设置 / 其它设置”里"开启远程ADB调试”
2、adb连接测试
夜神默认为5555端口
adb connect 192.168.24.70:5555 adb devices
3、修改MobSF配置文件
修改 ANALYZER_IDENTIFIER 参数为夜神模拟器的adb调试端口,然后重启服务
vim /root/.MobSF/config.py
4、动态扫描测试
登录管理页面,点击DYNAMIC ANALYZER
如以上截图,说明已经连接成功。如果提示: MobSFying Android Runtime [Errno 2] No such file or directory: ‘adb’ ,说明 adb组件安装失败,模拟器无法连接,需要检查模拟器。
