【信息安全服务】安卓渗透测试工具-Drozer 使用指南

最新推荐文章于 2024-07-12 17:50:34 发布
最新推荐文章于 2024-07-12 17:50:34 发布
阅读量1.2k 收藏 8
点赞数 1
分类专栏: 信息安全服务笔记及分享 文章标签: python 安卓渗透测试 drozer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keylion_/article/details/108393516
版权

【前言】

本篇博客将介绍移动端渗透测试工具Drozer的安装以及使用方法,希望对做安服的小伙伴有所帮助。

【环境准备】

Python环境:Python 2.7   下载地址

Java环境 :jdk1.8 下载地址

安卓模拟器(逍遥或者 夜神模拟器)下载自行百度

【工具准备】

Drozer-2.4.4 下载地址

Adb AndroidDebugBridge 下载地址

adb agent (安装到手机或者模拟器) 下载地址

【正文】

0X1 创建连接

使用adb工具建立手机或者安卓模拟器的连接

命令:adb connect 127.0.0.1 端口

(端口:itools:54001 夜神:62001 mumu:7555 逍遥:21503 雷神:5555)

命令:adb shell

执行到这一步,就实现了PC端和真实设备或者模拟器的交互,可以检查目录下是否存储敏感信息 等操作。
 

0X2 安装drozer

安装好python环境后,依次安装 python第三方库 protobuf、pyopenssl、pyyaml、twisted

pip install 库名

安装C++环境:Micorsoft Visual C++ Compiler for Python 2.7

安装好以上环境后,打开已安装到手机或者模拟器的agent软件,并开启

依次执行以下命令

命令:adb forward tcp:31415 tcp:31415 (31415为dozer占用的端口号)

进行端口转发

再执行以下命令:drozer.bat console connect

到这一步就执行成功了,drozer工具已成功运行。
 

0X3 Drozer的常规使用

1.检测四大组件安全  :

run app.activity.info -a  <包名>

run app.broadcast.info -a  <包名>

run app.service.info -a  <包名>

run app.provider.info -a  <包名>

 2.检测URI数据泄露风险:

  Drozer的scanner模块提供了一些方法去猜测可能存在的content URIs.

run scanner.provider.finduris -a <包名>

 3.检测文件遍历漏洞 :

   Drozer的Scanner模块提供了一些方法去检测本地Content Provider数据是否有文件遍历漏洞风险的接口.     

run scanner.provider.traversal -a <包名>

4.检测是否存在本地sql注入:

   Drozer的Scanner模块提供了一些方法去检测本地储存的SQLite数据是否有SQL注入的风险. 

run scanner.provider.injection -a <包名>

0X4 敏感信息排查

进入shell命令台

data/data目录下 执行logcat | grep -i [包名]

 

 

 

 

 

Keyli0n
关注
专栏目录
Drozer使用指南
01-25
Drozer使用指南
利用drozer进行Android渗透测试
weixin_33910460的博客
12-22 207
一、安装与启动   1. 安装   第一步:从http://mwr.to/drozer下载Drozer (Windows Installer)   第二步:在Android设备中安装agent.apk   adb install agent.apk   2. 启动   第一步:在PC上使用adb进行端口转发,转发到Drozer使用的端口31415   adb forward tcp:...
适用于Android的30种最佳免费黑客应用程序和工具_droidsheep
最新发布
baimao__Ch的博客
07-12 2443
在本文中,我们将列出前30个Android黑客工具,以帮助完成网络和渗透测试任务。Network Mapper是知名Nmap扫描仪的非官方Android前端。前端将帮助您下载和安装Nmap以及使用它。Nmap将帮助您发现主机,协议,开放端口,服务及其在网络上的配置和漏洞。图片来源:FaceniffFaceNiff是一个Android应用程序,它使您可以通过手机所连接的WiFi嗅探和拦截Web会话配置文件。(必填)AndroidRAT。
Drozer的基本使用
nini_boom的博客
05-12 1603
之前做APP测试时使用了Drozer,感觉很好用,但是后来一直没有时间整理。在我逐渐对Drozer加深了熟悉才发现,Drozer不仅仅是一个工具,它更像一个综合性渗透测试的框架。在单机情况下,测试单个APP漏洞很好用,在渗透中,也可以当做服务器多个代理的形式,对局域网或者互联网所有的移动端代理进行渗透,对移动端进一步攻击提权。 一、安装 安装这块,我强烈推荐直接看官网文档安装,英文看起来费劲不要紧,可以使用各类翻译软件。 因为在我安装的过程当中,看了别人的博客,不太详细,导致遇到了不少坑。官网的文档最全.
Drozer 使用说明
lei7143的专栏
06-15 3076
1、安装JDK 、SDK、python ,并设置到环境变量 2、下载drozer 、下载 agent.apk https://labs.mwrinfosecurity.com/tools/drozer/ 3、安装drozer ,并将其加入python 路径 方法: python site-packages 下创建 .pth 文件 C:\Python27\Lib\site-packag...
Android渗透测试工具包
03-23
Android渗透测试工具包
Android应用安全测试工具-Drozer
06-26
Drozer支持插件式模块化设计,具有完善的API和命令行界面,可以帮助安全测试人员快速和高效地进行安全测试和攻击,同时支持多平台布署。 主要功能包括: 插件式模块化设计,支持定制化测试和攻击流程。 支持自动...
Android APP安全评估工具-Drozer.zip
06-12
《Android APP安全评估工具——Drozer详解》 在当今移动互联网时代,Android应用程序的安全性愈发受到关注。作为开发者和安全研究人员,确保APP免受恶意攻击是至关重要的任务。Drozer,一款专为Android应用安全评估...
android安全框架工具drozer使用指南
11-28
1. 首先,从FTP安全工具目录下载`drozer-installer-2.3.4.zip`文件,并进行解压缩。 2. 在Windows环境下,运行`setup.exe`安装Drozer代理(agent.apk)到手机上。 3. 在手机上启动`agent.apk`,并确保其处于开启状态...
5Drozer安全测试框架详解.docx Drozer安全测试框架是一个用于安卓应用程序安全测试的工具
04-10
Drozer安全测试框架是一款专为安卓应用程序设计的安全测试工具。该框架能够帮助安全研究人员和开发人员有效地识别和修复应用程序中存在的潜在安全漏洞。它提供了一系列强大的功能模块,包括但不限于安装配置、依赖库...
drozer-工具Android渗透工具.zip
06-05
drozer是一款强大的开源Android渗透测试框架,它允许安全研究人员通过API滥用、权限提升和信息泄漏等多种方式来发现和利用Android系统的安全漏洞。 **drozer的工作原理** drozer的核心在于它的代理(Agent)机制。...
drozer简介及使用
08-27
目录 1 Drozer简介 2 2 Drozer的特点 2 3 Drozer的安装 3 3.1 硬件要求 3 3.2 安装准备 3 3.3 安装控制台 4 3.4 安装客户端代理 4 4 drozer的使用 4 4.1启动agent,使用drozer连接客户端agent 4 4.2 drozer命令 4 4.3 测试应用程序(sieve) 5 drozer是一款针对Android系统的安全测试框架。Drozer可以通过与Dalivik VM,其它应用程序的IPC端点以及底层操作系统的交互,避免正处于开发阶段,或者部署于你的组织的android应用程序和设备暴露出不可接受的安全风险。 drozer提供了很多Android平台下的渗透测试exploit供你使用和分享。对于远程漏洞,drozer能够生产shellcode帮助你部署drozer代理作为一个远程管理工具,最大化对设备的利用。 更快的Android安全评估 drozer可以大大缩减Android安全评估的耗时,通过攻击测试暴露Android APP的漏洞。 基于真机的测试 drozer运行在Android模拟器和真实设备上,它不需要USB调试或其他开发即可使用。 自动化和扩展 drozer有很多扩展模块,你可以找到他们进行测试以发现Android安全问题。
drozer用户手册-drozer Users' Guide-2.3.4
08-29
drozer用户手册-drozer Users' Guide-2.3.4】-英文 drozer是一款针对Android系统的安全测试框架。Drozer可以通过与Dalivik VM,其它应用程序的IPC端点以及底层操作系统的交互,避免正处于开发阶段,或者部署于你的组织的android应用程序和设备暴露出不可接受的安全风险。 drozer提供了很多Android平台下的渗透测试exploit供你使用和分享。对于远程漏洞,drozer能够生产shellcode帮助你部署drozer代理作为一个远程管理工具,最大化对设备的利用。 更快的Android安全评估 drozer可以大大缩减Android安全评估的耗时,通过攻击测试暴露Android APP的漏洞。 基于真机的测试 drozer运行在Android模拟器和真实设备上,它不需要USB调试或其他开发即可使用。 自动化和扩展 drozer有很多扩展模块,你可以找到他们进行测试以发现Android安全问题。
Drozer使用手册(APP安全测试)
01-07
Drozer是App 安全测试框架。它可以帮助开发人员和测试人员确定Android 设备中的安全漏洞。drozer使用的详细操作本文档都有介绍,详细的中文说明,便于上手实践。
drozer.rar
06-29
内置drozer整套环境的安装包,及安卓安全入门测试应用Sieve,一键式快捷操作。后续本人继续更新drozer详细实列操作
Drozer安全渗透测试
Jayden_Gu的博客
04-27 1406
一、介绍 Drozer是一款综合的安全评估和攻击的android框架,据 产品介绍 里说,Drozer可以全面评估app的安全性,并帮助团队把app的安全风险保持在可控范围内。 二、环境搭建 2.1 前期准备工作 准备以下环境以及工具的安装,确保配置正确 编号 工具名称 备注 1 ...
安卓渗透测试常用工具大合集
Cairo_A的博客
06-10 2029
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。Android传承着Linux的血统,无疑使渗透 从机器端到各种终端,使用起来更加方便,工具集中了众多方法,大大提高了渗透的效率。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Keyli0n

赠人玫瑰 手有余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值