Drozer之组件安全

最新推荐文章于 2024-02-19 20:00:00 发布
最新推荐文章于 2024-02-19 20:00:00 发布
阅读量550 收藏 1
点赞数
分类专栏: android安全 文章标签: android安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiaoMaGe/article/details/103024097
版权

Drozer之组件安全

0x00 关于Drozer工具得介绍

Drozer是MWR Labs开发的一款Android安全测试框架,也是一种交互式的安全测试工具。使用Drozer进行安全测试,用户在自己的工作站上输入命令,Drozer会将命令发送到Android设备上的代理程序执行。
Drozer之所以说是框架,是因为它是开源的,你可以编写自己的插件和模块,来扩展你它的功能来适用你的要求,可以说是一个基本上用于移动安全的Metasploit。

0x01 Drozer工具的一些命令介绍

我使用drozer框架的作用,主要是进行测试组件安全这个方面。同时我们也可以使用器来进行一些信息查询。
先转发端口: adb forward tcp:31415 tcp:31415
连接到drozer console: drozer console connect
有兔子的图案就待变连接成功。
在这里插入图片描述
drozer可以查看所用应用程序的信息,只要在手机上安装的程序都会显示出来,命令如下:
run app.package.list
在这里插入图片描述
知道这些应用程序的包名后,在来了解下每个程序的详细信息,在如下图中,分别的属性含义是:
Package:应用程序的包名;
Process Name:进程名称;
Version:程序的版本;
Apk Path:apk存放路径;
UID:与该app关联的用户id;
GID:与该app的用户id相关联得系统group id;
Uses Permissions:赋予该app得权限列表等等;
命令如下:run app.package.info com-XXXX
在这里插入图片描述
然后还可以看下应用程序的受攻击面,也是组件暴露信息,Androi组件分为四大组件(activity、broadcast、provider、services),这里面都有扫描到,命令如下:
run app.package.attacksurface com-xxxx
在这里插入图片描述

最低0.47元/天 解锁文章
又是你小马哥
关注
专栏目录
[车联网安全自学篇] Android安全之聊聊Drozer模块插件
橙留香Park的博客
07-21 579
fuzzing是安全人员用来自动化挖掘漏洞的一种技术,通过编写fuzzer工具向目标程序提供某种形式的输入并观察其响应来发现问题,这种输入可以是完全随机的或精心构造的,使用边界值附近的值对目标进行测试。为什么选择Drozer来做fuzzing框架呢?可扩展、易用是最大的原因Drozer基于客户端-服务器架构,其中客户端安装在本地,而服务器则是Android应用或代理。运行Android应用程序后,它会在端口31415上启动Drozer服务器,端口31415也是与客户端进行通信的端口。...
[车联网安全自学篇] Android安全Drozer安全测试详细使用教程
橙留香Park的博客
02-05 1577
Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一Drozer官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。
【移动安全drozer测试四大组件
Karka_的博客
02-19 1427
Drozer[1]是一款开源的 Android 安全测试和攻击工具,由 MWR InfoSecurity开发。它提供了一个命令行接口,允许用户在安全测试或攻击 Android 应用程序时进行自动化测试,发现潜在的漏洞和安全风险。Drozer是目前应用最为广泛的 Android 安全测试工具之一,其功能和易用性受到了广泛的认可和好评。Drozer 的主要功能包括:应用程序渗透测试:Drozer 允许用户测试 Android 应用程序的安全性,包括动态和静态分析,以及漏洞扫描等。
移动安全学习笔记——组件安全组件暴露导致的安全问题(含实验)
0nc3的博客
02-25 1583
0x00 漏洞原理 exported的组件可以被第三方APP调用,在权限控制不当的情况下,可能导致敏感信息泄露、绕过认证、越权行为执行等风险。 0x01 检测方法 1、手动查看 1-反编译apk,查看AndroidManifest.xml。 2-查看组件是否被导出或默认导出。 具有intent-filter标签时,默认为exported=true 不具有intent-filter标签时,默认为exported=false 导出的组件是否有Signature以上级别的权限控制。 2、利用Drozer
android应用APP-安全测试 drozer
煜铭2011
10-04 3225
0x00 前言   Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安
使用drozer进行android安全检测——安装篇
zgndgu的博客
03-12 414
第一步:从http://download.csdn.net/detail/zzcliang/9886118下载Drozer第二部:在windows机器上进行安装,并把agent.apk安装到要测试的android机器上面第三部:验证安装是否成功(1)打开cmd,运行adb forward tcp:31415 tcp:31415,如图所示    出问题提醒:连接不上手机的情况 我的问题的解决办法是 ...
DrozerAndroid APP安全评估工具(附测试案例)
自娱《测试开发》专栏
08-12 601
Drozer原名mercury,是一款不错的Android APP安全评估工具。现在有社区版/专业版两个版本。 具体的使用说明可以参考https://www.mwrinfosecurity.com/system/assets/559/original/mwri_drozer-users-guide_2013-09-11.pdf  测试案例 某Android APP由于Content Pro...
移动安全(1) - Win10 drozer环境搭建
菜鸟的测试世界
04-13 409
drozer是一款Android漏洞利用和安全评估框架。在drozer问世前,编写app的漏洞利用代码,得编译一个Android app,然后部署到手机上,如果要修改,得再编译部署一次。而drozer解决了这个问题,drozer通过drozer agent这个代理,像设备发送命令用来测试漏洞利用代码。并且还支持编写的模块和插件,所以我们称之为框架~ 接下来在Win10安装配置drozer 1. 安装python2.7,配好环境变量,drozer必须要python2.7,python3不可以 ...
drozer安全测试
Mr____Feng的博客
11-04 407
前提条件: 1.下载 并安装adb工具 链接:https://pan.baidu.com/s/1Dj5uoat1a_mBiR3b7g5W2g 提取码:jzhn 下载解压后如下(尽可能避免使用中文目录): 将该路径添加到系统变量中: 常用adb命令: adb devices :查看当前连接设备 adb devices -l :查看当前链接设备显示详细信息 adb forward tcp:31415tcp:31415:PC上所有31415端口通信数据将被重定向到手机端3141...
5Drozer安全测试框架详解.docx Drozer安全测试框架是一个用于安卓应用程序安全测试的工具
最新发布
04-10
接下来,可以利用Drozer对安卓应用程序进行全面的安全测试,重点关注四大组件安全性问题: 1. **运行攻击面分析** - 命令示例:`run app.package.attacksurface com.xxx.xxxx` 2. **组件暴露分析** - **...
drozer安全测评软件
03-12
Drozer是一款强大的Android安全测评工具,由知名安全公司MWR InfoSecurity开发。...通过深入分析权限、组件、服务和动态行为,Drozer可以帮助我们构建更安全的应用环境,抵御日益复杂的移动安全威胁。
《移动安全》(6)使用drozer检测四大组件(下)
午夜安全
10-05 4621
《移动安全》(6)使用drozer检测四大组件(下) 在drozer console中直接使用help查看;然后进一步使用help command可查看各命令更具体的使用方法。通过输入安装包的部分关键字查找包全称 run app.package.list -f 安装包部分关键字run app.package.list -f demo使用app.package.info模块查看apk基本信息run app.package.info -a ...
安全测试-Drozer安全测试框架实践记录篇
qq_34381178的博客
08-06 4931
二、环境部署一、Drozer简介Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。......
自己动手开发Drozer插件之AutoAttack
随笔日志
03-16 1610
自己动手开发Drozer插件之AutoAttack 图/文 360捉虫 1、Drozer是什么         Drozer是MWR Labs开发的一款针对Android系统的安全测试框架。Drozer可以通过与Dalivik 虚拟机,以及其它应用程序的IPC端点以及底层操作系统的交互,避免正处于开发阶段,或者部署于你的组织的android应用程序和设备暴露出不可接受的安全风险。
使用DrozerAndroid四大组件进行测试
WannaCry_reboot
04-21 1460
使用DrozerAndroid四大组件进行测试 一、介绍 Drozer是一款安卓的安全测试框架,可以用来对安卓应用进行渗透测试,工作方式为交互式,有点类似于MSF,可以选择模块和payload对风险点进行分析和漏洞验证。 二、安装 1、以使用windows+夜游神模拟器(越狱模式)为例,需要以下环境 (1)drozer安装程序 链接:http://mwr.to/drozer (2)...
签名校验破解过程
热门推荐
JiaoMaGe的博客
11-12 1万+
签名校验破解过程 一、前提说明 我们知道Android中的每个应用都是有一个唯一的签名,如果一个应用没有被签名是不允许安装到设备中的,一般我们在运行debug程序的时候也是有默认的签名文件的,只是IDE帮我们做了签名工作,一般在应用发版的时候会用唯一的签名文件进行签名,那么我们在以往的破解中可以看到,我们有时候需要在反编译应用之后,然后从新签名在打包运行,这个又给了很多二次打包团队谋取利益的一种手...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值