Drozer简单使用

时间 2020-07-12

标签 drozer 简单使用繁體版

原文原文链接

Drozer简介

Drozer是一款针对Android系统的安全测试框架。Drozer能够经过与dalivik VM交互、与其余应用程序的IPC端点交互、与底层操做系统的交互，来避免正处于开发阶段或者正处于部署于组织的Android应用程序和设备暴露出安全风险。python

Drozer优势

有助于更快的完成Android安全评估：Drozer能够大大缩减Android安全评估的耗时，经过攻击测试暴露Android APP的漏洞。
基于真机测试：Drozer运行在Android模拟器和真实设备上，它不须要USB调试或其余开发工具便可使用。
自动化和可扩展：Drozer有不少扩展模块，能够利用这些扩展模块进行测试以发现更多Android安全问题。

启动Drozer

准备环境

本此使用的是win10系统，若是使用其它系统搭建，需准备不一样的版本：android

Windows10
Google pixel
Python2.7 （必须用python2.7.。。。用3会报错https://www.python.org/ftp/python/2.7.14/python-2.7.14.amd64.msi
drozer-2.4.4. https://github.com/mwrlabs/drozer （安装时必须选择python2.7）
Adb AndroidDebugBridge http://adbshell.com/downloads
jdk1.8 https://blog.csdn.net/weixin_37601546/article/details/88623530
下载安装手机agent，使用usb线将手机链接到电脑（或开启一个模拟设备），使用adb将agent安装到手机。agent下载地址：https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk

搭建步骤

a.打开手机的USB调试功能，将手机经过USB链接电脑。
b.安装jdk环境和python环境，并配置环境变量。
c.安装Android调试工具ADB。
d.安装Drozer。（记得选择python2，并将Drozer的安装目录选择为python安装目录)git

链接测试

命令：adb devices ，测试移动端在线
命令：drozer.bat console connect （执行前通常须要转发端口，命令：adb forward tcp:31415 tcp:31415），打开dozer控制台

如上图即搭建成功。
Android 开源安全测试工具 Drozer，安装过程当中的问题
首先打开测试客户端的“drozer agent”应用，并打开Embbdded Server：

而后在pc端执行命令：drozer.bat console connect （执行前通常须要转发端口，命令：adb forward tcp:31415 tcp:31415），打开dozer控制台：

Drozer命令

命令	功能
help ABOUT	显示一个指定指令或模块的帮助信息
run Module	执行一个Drozer模块
shell	在设备上启动一个交互式Linux shell
list	显示当前会话所能执行全部Drozer模块，不显示未得到相应权限的模块
cd	挂载一个特定的命名空间做为会话的根目录，避免重复输入模块全称
load	加载一个包含Drozer命令的文件而且按顺序执行
echo	在控制台打印信息
clean	移除Android设备上由Drozer存储的临时文件
module	从互联网发现而且安装一个额外的模块
permissions	显示Drozer agent被授予的权限
set	将一个值存储在一个变量中，这个变量将做为一个环境变量传递个任何由Drozer生成的Linux shell
unset	移除一个已命名变量，这个变量是由Drozer传递给Linux shell的
exit	终止Drozer会话

Drozer基本命令的使用

Drozer官方测试apkgithub

检索测试应用程序

命令：run app.package.list -f <app name>
sql

列出应用程序基本信息

包括应用程序版本、应用程序数据存储路径、应用程序安装路径、相关权限等，命令：run app.package.info -a <package name>
shell

肯定攻击面

Drozer可检测apk源码四大组件（activities、broadcast receivers、content providers、services）的export状况，并判断export的组件提供那些服务，由于服务是能够调试的，能够将调试器附加到进程上，就行调试。
数据库

开始安全测试

activity组件

应用程序中，一个Activity一般就是一个单独的屏幕，它上面能够显示一些控件也能够监听并处理用户的事件作出响应。 Activity之间经过Intent进行通讯。在Intent的描述结构中，有两个最重要的部分：动做和动做对应的数据。安全

查看activities的详细信息，命令：run app.activity.info -a <package name>
启动设置为导出的activity，命令：run app.activity.start --component <package name> 设置为导出的activity

能够肯定成功绕过了登陆受权，形成了越权漏洞。

Content组件

android平台提供了Content Provider使一个应用程序的指定数据集提供给其余应用程序。这些数据能够存储在文件系统中、在一个SQLite数据库、或以任何其余合理的方式。其余应用能够经过ContentResolver类从该内容提供者中获取或存入数据。只有须要在多个应用程序间共享数据是才须要内容提供者。网络

从Content Provider读取信息，命令：run app.provider.info -a <package name>

能够肯定的是,这两个Content Provider除了DBContentProvider的/keys路径，都不须要特殊的权限就能和他们交互。
基于数据库的Content Provider（数据泄露）
首先分析apk，判断其名为DBContentProvider的Content Provider存在某种形式的数据库，能够经过重建部分provider URIs，以进入Content Provider。Drozer提供了一个扫描模块，其中包含了多种形式的猜想路径的方式并将可进入的provider URIs显示出来，命令：run scanner.provider.findurls -a <package name>

此时就可使用其余的Drozer模块，从这些可行的Provider URIs中提取信息，甚至更改数据库里的数据。
访问uri发现数据泄露，可看到一些敏感信息，命令：run app.provider.query uri
基于数据库的Content Provider（SQL注入）
经过修改传递给Content Provider的投影或选择字段，很容易测试程序是否存在SQL注入漏洞，测试命令：

run scanner.provider.injection -a packageName 扫描那里能够进行SQL注入
run scanner.provider.sqltables -a  com.mwr.example.sieve 列举app的表信息
projection 测试：run app.provider.query contentProviderURI --projection "'"
selection 测试：run app.provider.query contentProviderURI --selection "'"
projection注入语句测试：run app.provider.query contentProviderURI  --projection "*          FROM xx;--"
Selection注入语句测试：run app.provider.query contentProviderURI  --selection "1=1);--"

报错信息显示了视图执行的整个查询，所以能够利用这个漏洞列举出数据库中的全部表，执行命令：

run app.package.query  content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM SQLITE_MASTER WHERE type='table';--"

获取具体表信息
基于文件系统读取和写入（有可能被阻止）
在被导出的Content Provider中，咱们能够合理的假设FileBackupProvider是一个基于文件系统的Content Provider，路径表明想要打开的文件位置，执行命令：

读取：run app.package.read uris/文件及路径
拷贝：run app.package.download uris/文件及路径 \本地文件及路径

run scanner.provider.traversal -a <package name>

Services组件

一个Service 是一段长生命周期的，没有用户界面的程序，能够用来开发如监控类程序。较好的一个例子就是一个正在从播放列表中播放歌曲的媒体播放器。在一个媒体播放器的应用中，应该会有多个activity，让使用者能够选择歌曲并播放歌曲。
然而，音乐重放这个功能并无对应的activity，由于使用者固然会认为在导航到其它屏幕时音乐应该还在播放的。在这个例子中，媒体播放器这个activity 会使用Context.startService()来启动一个service，从而能够在后台保持音乐的播放。同时，系统也将保持这个service 一直执行，直到这个service 运行结束。
另外，咱们还能够经过使用Context.bindService()方法，链接到一个service 上（若是这个service 尚未运行将启动它）。当链接到一个service 以后，咱们还能够service 提供的接口与它进行通信。拿媒体播放器这个例子来讲，咱们还能够进行暂停、重播等操做。 intent-filter未将exported设置为false，默认是能够导出的。app

run app.service.info -a package_name  查看Services组件信息
run app.service.start --action 服务名 --component 包名 服务名   调用内部服务组件

Broadcast组件

BroadcastReceive广播接收器应用可使用它对外部事件进行过滤只对感兴趣的外部事件(如当电话呼入时，或者数据网络可用时)进行接收并作出响应。广播接收器没有用户界面。然而，它们能够启动一个activity或serice 来响应它们收到的信息，或者用NotificationManager来通知用户。通知能够用不少种方式来吸引用户的注意力──闪动背灯、震动、播放声音等。通常来讲是在状态栏上放一个持久的图标，用户能够打开它并获取消息。
测试经常使用命令：

run app.broadcast.info -a  <package name> 测试对外的broadcast组件信息
run app.broadcast.send --component <package name> <component name> --action <action> --extra <type> <key> <value>  发送带参数的恶意广播
run app.broadcast.send --action <action> 向广播组件发送不完整intent使用空extras，能够看到应用中止运行