Using Hinge as a Command and Control Server
4 months ago
- #android
- #ethical-hacking
- #cybersecurity
- 演示了如何将Hinge用作命令与控制(C2)服务器,这需要对该应用进行补丁修改并运用中间人(MITM)技术。
- 在Hinge上设置账户需要一个电话号码,出于研究目的,建议使用Mint Mobile提供的7天试用SIM卡。
- 通过Python脚本创建一个有效载荷,将二进制数据编码到图片中,利用了Hinge的照片上传功能。
- Hinge的照片和用户数据通过其未公开的API公开可访问,允许获取用户ID和内容。
- 文章详细介绍了如何对Hinge应用进行补丁以绕过证书锁定,从而在非Root的安卓设备上实施中间人攻击。
- 修改网络安全配置XML文件以信任用户证书,为中间人攻击提供便利。
- 该过程包括从设备中提取APK文件,进行修改后重新安装打过补丁的版本。
- 使用Mitmproxy拦截并分析来自Hinge应用的流量,揭露敏感头部信息和用户数据。
- 该技术展示了如何将Hinge平台重新用于通过其平台隐蔽分发数据。