简单使用Drozer

1.Drozer简介

  Drozer是一款针对Android系统的安全测试框架。Drozer可以通过与dalivik VM交互、与其他应用程序的IPC端点交互、与底层操作系统的交互,来避免正处于开发阶段或者正处于部署于组织的Android应用程序和设备暴露出安全风险。

2.Drozer优点

  • 有助于更快的完成Android安全评估:Drozer可以大大缩减Android安全评估的耗时,通过攻击测试暴露Android APP的漏洞。
  • 基于真机测试:Drozer运行在Android模拟器和真实设备上,它不需要USB调试或其他开发工具即可使用。
  • 自动化和可扩展:Drozer有很多扩展模块,可以利用这些扩展模块进行测试以发现更多Android安全问题。

3.启动Drozer

Drozer安装

  首先打开测试客户端的“drozer agent”应用,并打开Embbdded Server:

drozer agent.apk

  然后在pc端执行命令:drozer.bat console connect (执行前一般需要转发端口,命令:adb forward tcp:31415 tcp:31415) ,打开dozer控制台:
dozer控制台

4.Drozer命令

命令 功能
help ABOUT 显示一个指定指令或模块的帮助信息
run Module 执行一个Drozer模块
shell 在设备上启动一个交互式Linux shell
list 显示当前会话所能执行所有Drozer模块,不显示未获得相应权限的模块
cd 挂载一个特定的命名空间作为会话的根目录,避免重复输入模块全称
load 加载一个包含Drozer命令的文件并且按顺序执行
echo 在控制台打印信息
clean 移除Android设备上由Drozer存储的临时文件
module 从互联网发现并且安装一个额外的模块
permissions 显示Drozer agent被授予的权限
set 将一个值存储在一个变量中,这个变量将作为一个环境变量传递个任何由Drozer生成的Linux shell
unset 移除一个已命名变量,这个变量是由Drozer传递给Linux shell的
exit 终止Drozer会话

5.Drozer基本命令的使用

Drozer官方测试apk

5.1 检索测试应用程序

  命令:run app.package.list -f <app name>

检索包名

5.2 列出应用程序基本信息

  包括应用程序版本、应用程序数据存储路径、应用程序安装路径、相关权限等,命令:run app.package.info -a <package name>

测试apk基本信息

5.3 确定攻击面

  Drozer可检测apk源码四大组件(activities、broadcast receivers、content providers、services)的export情况,并判断export的组件提供那些服务,因为服务是可以调试的,可以将调试器附加到进程上,就行调试。


测试apk的可攻击点

5.4 开始安全测试

5.4.1 activity组件

应用程序中,一个Activity通常就是一个单独的屏幕,它上面可以显示一些控件也可以监听并处理用户的事件做出响应。 Activity之间通过Intent进行通信。在Intent的描述结构中,有两个最重要的部分:动作和动作对应的数据。

  • 查看activities的详细信息,命令:run app.activity.info -a <package name>
    activities详细信息
  • 启动设置为导出的activity,命令:run app.activity.start --component <package name> 设置为导出的activity
    执行的命令

    客户端页面跳转

    可以确定成功绕过了登录授权,造成了越权漏洞。

5.4.2 Content组件

android平台提供了Content Provider使一个应用程序的指定数据集提供给其他应用程序。这些数据可以存储在文件系统中、在一个SQLite数据库、或以任何其他合理的方式。其他应用可以通过ContentResolver类从该内容提供者中获取或存入数据。只有需要在多个应用程序间共享数据是才需要内容提供者。

  • 从Content Provider读取信息,命令:run app.provider.info -a <package name>
    content

      可以确定的是,这两个Content Provider除了DBContentProvider的/keys路径,都不需要特殊的权限就能和他们交互。
  • 基于数据库的Content Provider(数据泄露)
      首先分析apk,判断其名为DBContentProvider的Content Provider存在某种形式的数据库,可以通过重建部分provider URIs,以进入Content Provider。Drozer提供了一个扫描模块,其中包含了多种形式的猜测路径的方式并将可进入的provider URIs显示出来,命令:run scanner.provider.findurls -a <package name>
    uris

      此时就可以使用其他的Drozer模块,从这些可行的Provider URIs中提取信息,甚至更改数据库里的数据。
  • 访问uri发现数据泄露,可看到一些敏感信息,命令:run app.provider.query uri
    信息泄露
  • 基于数据库的Content Provider(SQL注入)
    通过修改传递给Content Provider的投影或选择字段,很容易测试程序是否存在SQL注入漏洞,测试命令:
run scanner.provider.injection -a packageName 扫描那里可以进行SQL注入
run scanner.provider.sqltables -a  com.mwr.example.sieve 列举app的表信息
projection 测试:run app.provider.query contentProviderURI --projection "'"
selection 测试:run app.provider.query contentProviderURI --selection "'"
projection注入语句测试:run app.provider.query contentProviderURI  --projection "*          FROM xx;--"
Selection注入语句测试:run app.provider.query contentProviderURI  --selection "1=1);--"
尝试注入
  • 报错信息显示了视图执行的整个查询,因此可以利用这个漏洞列举出数据库中的所有表,执行命令:
run app.package.query  content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM SQLITE_MASTER WHERE type='table';--"
列举所有表
  • 获取具体表信息


    key表具体信息
  • 基于文件系统读取和写入(有可能被阻止)
    在被导出的Content Provider中,我们可以合理的假设FileBackupProvider是一个基于文件系统的Content Provider,路径代表想要打开的文件位置,执行命令:
读取:run app.package.read uris/文件及路径
拷贝:run app.package.download uris/文件及路径 \本地文件及路径
基于文件系统的Content Provider
  • 目录遍历检测
 run scanner.provider.traversal -a <package name>

5.4.3 Services组件

  一个Service 是一段长生命周期的,没有用户界面的程序,可以用来开发如监控类程序。较好的一个例子就是一个正在从播放列表中播放歌曲的媒体播放器。在一个媒体播放器的应用中,应该会有多个activity,让使用者可以选择歌曲并播放歌曲。
  然而,音乐重放这个功能并没有对应的activity,因为使用者当然会认为在导航到其它屏幕时音乐应该还在播放的。在这个例子中,媒体播放器这个activity 会使用Context.startService()来启动一个service,从而可以在后台保持音乐的播放。同时,系统也将保持这个service 一直执行,直到这个service 运行结束。
  另外,我们还可以通过使用Context.bindService()方法,连接到一个service 上(如果这个service 还没有运行将启动它)。当连接到一个service 之后,我们还可以service 提供的接口与它进行通讯。拿媒体播放器这个例子来说,我们还可以进行暂停、重播等操作。 intent-filter未将exported设置为false,默认是可以导出的。

run app.service.info -a package_name  查看Services组件信息
run app.service.start --action 服务名 --component 包名 服务名   调用内部服务组件

5.4.4 Broadcast组件

BroadcastReceive广播接收器应用可以使用它对外部事件进行过滤只对感兴趣的外部事件(如当电话呼入时,或者数据网络可用时)进行接收并做出响应。广播接收器没有用户界面。然而,它们可以启动一个activity或serice 来响应它们收到的信息,或者用NotificationManager来通知用户。通知可以用很多种方式来吸引用户的注意力──闪动背灯、震动、播放声音等。一般来说是在状态栏上放一个持久的图标,用户可以打开它并获取消息。

由于sieve.apk不存在此方面漏洞,测试常用命令:

run app.broadcast.info -a  <package name> 测试对外的broadcast组件信息
run app.broadcast.send --component <package name> <component name> --action <action> --extra <type> <key> <value>  发送带参数的恶意广播
run app.broadcast.send --action <action> 向广播组件发送不完整intent使用空extras,可以看到应用停止运行
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 219,110评论 6 508
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 93,443评论 3 395
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 165,474评论 0 356
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,881评论 1 295
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,902评论 6 392
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,698评论 1 305
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,418评论 3 419
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 39,332评论 0 276
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,796评论 1 316
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,968评论 3 337
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 40,110评论 1 351
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,792评论 5 346
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,455评论 3 331
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 32,003评论 0 22
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 33,130评论 1 272
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 48,348评论 3 373
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 45,047评论 2 355