آموزش نصب MobSF

به نام خدا

تو این مطلب با اموزش نصب MobSF در خدمتتون هستیم

اول از همه بریم ببینیم این MobSF اصلا چیه!؟

خب MobSF (Mobile Security Framework) یه فریمورک کامل برای تست نفوذ اپلیکیشن های اندرویدیه، نکته ای که توی تست نفوذ اپلیکیشن های اندرویدی (مثل بقیه جاها) وجود داره اینه که قاعدتا بعد از دیکامپایل کردن یه برنامه اندرویدی نمیشینین و تماااام کدای اون برنامه رو بخونین تا به endpoint ها و باگ هاش برسین! این نرمافزار خیلی از فرایند هارو اتومات میکنه و نیاز به بررسی دستی شما نیست! نه به این معنی که هرجارو آسیبپذیر دونست آسیبپذیره بلکه از این دید نگاه کنین که یسری نقاط خاص توی برنامه پیدامیکنه که ممکنه آسیب پذیر باشن و شما بجای وقت تلف کردن تمرکزتون روی تست آسیب پذیری ها میذارین

این فریمورک علاوه بر آنالیز استاتیک آنالیز دینامیک رو هم به کمک Frida, drozer , etc انجام میده که نشون میده با یه ابزار همه فن حریف طرفیم

 

 

آموزش نصب MobSF :

برای نصب این فریمورک دو روش داریم که خودم روش اول رو بیشتر پیشنهاد میکنم

اول اینکه با ایتفاده از داکر اونو نصب کنیم (که خیلی راحت تره)

دوم هم اینکه با گیت هابو به شکل دستی اونو نصب کنیم

 

برای نصب با استفاده از داکر (بعد از نصب کردن خود داکر) کافیه اونو از مخزن داکرتون دانلود کنین ( و اگه تحریمارو دور نزدین از مخازن آینه ای مثل آروان کلاد میتونین استفاده کنین ) 

docker pull opensecurity/mobile-security-framework-mobsf

قاعدتا اگه از لینوکس هم استفادیه میکنین قبلش باید یه sudo هم بذارین

ممکنه یکم طول بکشه چون حجمش نسبتا زیاده اما نگران نباشین

بعد از اینکه ایمیجمون کامل دانلود شد میتونین تنها با استفاده از کامند زیر ازش استفاده کنین:

docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

الان کافیه مرورگر خودتونو باز کنین و localhost:8000 رو باز کنین تا وارد پنل کاربری بشین

نام کاربری و پسورد پیشفرض هم mobsf هستاین

اینحا -p پورت 8000 سیستم اصلی تون رو به پورت 8000 کانتینرتون متصل میکنه و تگ --rm هم میگه که بعد از بسته شدن کانتینر اونو پاک میکنه تا اطلاعات اضافی یا پردازش اضافی رو سیستمتون موندگار نشه

و به همین سادگی تونستیم با داکر MobSF رو نصب کنیم!

 

 

آموزش نصب MobSF بدون استفاده از docker :

خب طبق معمول این فریمورک هم از پایتون استفاده میکنه و یسری دیپندنسی دیگه که اول باید اونا رو نصب کنیم

پیشنیاز هامون برای نصب MobSF گیت، پایتون و مجازی ساز پایتونه (virtualenv)

لینوکسیا (همونطور که خودتونم میدونین ) میتونین با دستورای زیر توی ترمینال همه اینارو نصب کنین 

# update
sudo apt update
sudo apt upgrade

sudo apt install python3 python3-pip python3-venv git

خب ویندوزی های محترم هم باید git  و پایتون (3) رو نصب کنین و بعد از اینکه مطمئن شدین که نصب شدن با کامند زیر تو cmd مجازی ساز پایتون رو نصب کنین

pip install venv

حالا ریپازیتوری MobSF رو از گیت هابشون کلون میکنیم  :

# windows & linux :
git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git

حالا که کلون کامل شد وارد پوشه MobSF مون میشیم :

# windows & linux:
cd Mobile-Security-Framework-MobSF

حالا باید یه ماشین مجازی پایتونی بسازیم که نیازه:

# linux:
python3 -m venv myVenv

# windows:
python -m venv myVenv

 

حالا باید وارد ماشین مجازیمون بشیم تا دیپندنسی های پایتونی مون رو اونجا نصب کنیم!

# linux:
source myVenv/bin/activate

# windows:
.\myVenv\Script\activate.bat

باید پیشنیاز های پایتونی مونو روی این ماشین مجازی نصب کنیم:

pip install -r requirements.txt

حالا دیگه تــــــــــقریبا تموم شده ولی باید setup رو هم بزنیم تا یسری چیزای دیگه مثل JDK و... رو هم نصب کنه:

# linux:
bash setup.sh

# windows:
.\setup.bat

 

 

 

تبریک میگم شما الان به یکی از بهترین فریمورک های تست نفوذ اپلیکیشن اندرویدی دسترسی دارین و میتونین اونو اجرا کنین

# linux:
bash run.sh

# windows:
.\run.bat

فقط کافیه مرورگرتون رو باز کنین و localhost:8000 رو بزنین تا به پنلتون دسترسی داشته باشین

یوزرنیم پسورد پیشفرضش هم mobsf هست! ( که بالاتر هم گفته بودم... )

 

یه نما فقط از آنالیز استاتیک halovpn رو گرفتم که میتونین ببینین از شیر مرغ تا جون آدمیزاد توش پیدا میشه اما کار اصلی ما بعد از دیدن این خروجی مهم شروع میشه!

 

 

در آخر هم اینکه نه به ابزار تکیه کنین نه به تئوری!

بلکه این ابزار و تئوری کنار هم هستن که نتیجه رو شگفت انگیز میکنن!

اگه توی نصب، اجرا یا هرجای دیگش به مشکلی خوردین همینجا کامنت بذارین منم سعی میکنم به همه جواب بدم

اگرم جایی از پست رو دیدن که اشتباهه ممنون میشم همینجا کامنت کنین یا توی تلگرام یا از مسیر های دیگه بهم بگید تا درستش کنم قطعا این حمایت های شما برای من ارزشمند و مفید هستن