Android渗透测试工具之Drozer-安装

最新推荐文章于 2024-05-16 13:47:50 发布
最新推荐文章于 2024-05-16 13:47:50 发布
阅读量1.3k 收藏 23
点赞数 21
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y995zq/article/details/135953107
版权

一、介绍:

drozer(以前称为 Mercury)是领先的 Android 安全测试框架。

drozer 允许您通过扮演应用程序的角色并与 Dalvik VM、其他应用程序的 IPC 端点和底层操作系统交互来搜索应用程序和设备中的安全漏洞。

drozer 提供的工具可帮助您使用、共享和了解公共 Android 漏洞。它可以帮助您通过利用或社会工程将 drozer 代理部署到设备。使用 weasel(WithSecure 的高级漏洞利用负载),drozer 能够通过安装完整的代理、将有限的代理注入正在运行的进程或连接反向 shell 来充当远程访问工具 (RAT),从而最大化其可用的权限。

drozer 是模拟流氓应用程序的好工具。渗透测试人员不必开发具有自定义代码的应用程序来与特定内容提供商交互。相反,drozer 无需任何编程经验即可使用,以显示在设备上导出某些组件的影响。

二、环境准备

1、jdk1.7版本或者以上
2、drozer
3、agent
4、adb
5、Android SDK
6、安卓模拟器(网易mumu)

7、Sieve.apk

agent

https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk

Sieve.apk

https://github.com/WithSecureLabs/drozer/releases/download/2.3.4/sieve.apk 

adb下载模拟器的时候都有自带

MuMu模拟器如何连接adb?_MuMu模拟器_安卓模拟器

drozer-》

https://github.com/WithSecureLabs/drozer

 

三、具体的详细步骤 

1、使用adb测试连接

2,将agent安装到模拟器上

可以下载后直接放入模拟器中,或使用adb来传递 

adb install C:\Users\shisan\Downloads\drozer-agent-2.3.4.apk

 

点击agent

3.配置pyhon2环境变量和安装各种支持的库 ,打开dozer 

点击安装,默认会安装到python2中。这时你下载的dozer应该在python27\Scripts目录下

目录python27\Scripts--->cmd---->随后在 dozer.bat 所在目录

使用命令drozer.bat console connect 打开dozer控制台

这时会出现报错,我们根据报错内容来安装对应的库

python -m pip install –-upgrade pip                 #更新pip,注意前面事两个杠--

pip install  protobuf

pip install pyopenssl

pip install twisted

pip install pyyaml

打开dozer,发现还有错误?

需要要用adb端口转发一下  adb forward tcp:31415 tcp:31415  (31415为dozer占用的端口号)

adb forward tcp:31415 tcp:31415

drozer.bat console connect

 四. drozer使用

可以用help ,list 查看使用方法和功能

使用adb查看app的包名

adb shell pm list packages -3

常用命令

查询安装包的信息:

run app.package.info -a 包名

 确定App受攻击的面(attack face),列出暴露的组件信息:

 run app.package.attacksurface xx

 

Activity协议攻击 

查询对外组件的信息

 run app.activity.info -a xxx

首先使用drozdr检测app中暴露的activity,这里可以看到暴露的主件还是有不少:

run scanner.provider.finduris -a 包名

 

检测注入

run scanner.provider.injection -a xxx

查看是否存在数据泄露

run scanner.provider.finduris -a xxx 

检测目录遍历

run scanner.provider.traversal -a xxx 

检测可以访问的URL

run scanner.provider.finduris -a xxx 

查询URL的数据

run app.provider.query url 

十三2
关注
  • 21
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
drozer-工具Android渗透工具.zip
06-05
drozer-工具Android渗透工具.zip
利用drozer进行Android渗透测试
01-22
利用drozer进行Android渗透测试
安卓渗透测试工具Drozer学习笔记
weixin_30768661的博客
08-09 218
下载,并安装。 pip安装即可,安装完成后可能会出现缺少twisted依赖库的问题 ➜ vul git:(master) ✗ drozer console connect drozer Server requires Twisted to run. Run 'pip install twisted' to fetch this dependency. 安装twisted时,...
drozer-Android安全测试基本使用教程(Windows10)_drozer官网
m0_59117112的博客
04-17 1004
首先,我们需要设置一个合适的端口,以便我们的PC可以连接到由模拟器内部的代理,或手机上的代理。上面结果说明我们有很多潜在的问题,这个app上的 ‘exports’ 有的几个让其他应用程序可以访问的activities(应用程序使用的屏幕)、内容提供者(数据库对象)、服务(后台工作者)。通过操作传递到的投影和选择字段来测试SQL注入是很简单的。(1)安装好后,打开sieve,第一次进入需要输入16位的密码和确认密码,提交后需要创建4位数的PIN(我的密码为1234567890123456,PIN为1234)
android渗透测试工具drozer,利用drozer进行Android渗透测试
weixin_35473090的博客
05-25 898
一、安装与启动1. 安装第一步:从http://mwr.to/drozer下载Drozer (Windows Installer)第二步:在Android设备中安装agent.apkadb install agent.apk2. 启动第一步:在PC上使用adb进行端口转发,转发到Drozer使用的端口31415adb forward tcp:31415 tcp:31415第二步:在Android设...
Android App渗透测试--Drozer
weixin_43954270的博客
11-28 327
Drozer是一款领先的Android安全测试框架,可以发现Android应用程序暴露的攻击表面并与其进行交互,尽可能点对点发现Android漏洞,识别组织中易受攻击的设备,并进行远程攻击,Drozer既可以在Android模拟器上运行,也可以在实际设备上运行,可以免费从官网下载工具。(5)使用app.provider.info模块查看content provider组件信息。
Android渗透工具drozer安装与使用
tangshuangsss的专栏
09-05 469
移动端渗透测试工具相比丰富的web端真的是少之又少,最近在做app的安全测试,用到了drozer,一款快速识别apk风险点的渗透工具。准备工具Windows10 逍遥安卓模拟器 Pyt...
【移动安全】drozer测试四大组件
qq_42067124的博客
03-27 1888
Drozer[1]是一款开源的 Android 安全测试和攻击工具,由 MWR InfoSecurity 开发。它提供了一个命令行接口,允许用户在安全测试或攻击 Android 应用程序时进行自动化测试,发现潜在的漏洞和安全风险。Drozer 是目前应用最为广泛的 Android 安全测试工具之一,其功能和易用性受到了广泛的认可和好评。Drozer 的主要功能包括:应用程序渗透测试:Drozer 允许用户测试 Android 应用程序的安全性,包括动态和静态分析,以及漏洞扫描等。
drozer相关的sieve,drozer-2.4.4.win32,drozer-agent-2.3.4
11-18
drozer-2.4.4.win32是该工具在Windows平台上的版本,支持在Windows系统上运行drozer控制台,对连接的Android设备进行分析和渗透测试。 drozer-agent-2.3.4是drozerAndroid代理组件,它被安装在目标Android设备上...
Android APP安全评估工具-Drozer.zip
06-12
Android APP安全评估工具——Drozer详解》 在当今移动互联网时代,Android应用程序的安全性愈发受到关注。作为开发者和安全研究人员,确保APP免受恶意攻击是至关重要的任务。Drozer,一款专为Android应用安全评估...
drozer-installer-2.3.4 apk检测测评
10-12
Drozer,由MWR InfoSecurity开发,是一款强大的Android安全评估工具,专为安全研究人员和专业渗透测试人员设计。2016年发布的2.3.4版是该工具的一个重要版本,其核心功能在于深入分析APK应用,揭示潜在的安全漏洞和...
drozer2.3.4
09-21
drozer (formerly Mercury) is the leading security testing framework for Android. drozer allows you to search for security vulnerabilities in apps and devices by assuming the role of an app and interacting with the Dalvik VM, other apps' IPC endpoints and the underlying OS. drozer provides tools to help you use, share and understand public Android exploits. It helps you to deploy a drozer Agent to a device through exploitation or social engineering. Using weasel (MWR's advanced exploitation payload) drozer is able to maximise the permissions available to it by installing a full agent, injecting a limited agent into a running process, or connecting a reverse shell to act as a Remote Access Tool (RAT).
Drozer安装与使用 | Android逆向工具
weixin_43525479的博客
06-14 8949
Drozer安装与使用 Android逆向工具
安卓渗透测试工具——drozer安装使用教程
热门推荐
w7deer的博客
01-25 1万+
安卓渗透测试工具——drozer安装使用教程 一、环境准备 二、安装 三、连接使用
drozer工具介绍和使用_drozer工具用途,2024年最新34岁网络安全开发大叔感慨
uiuuyy67的博客
04-17 370
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!启动drozer agent,界面上“Embedded Server”滑块拖到“Enable”【3】使用adb命令,在目标设备上安装drozer Agent(apk程序)第一步,使用adb命令,进行端口转发。【5】运行drozer会话。
【安全测试工具Drozer介绍及使用
songbai220
08-18 1394
一、前言: 项目测试间隙调研了下移动APP安全测试,发现不少文档都提到了Drozer这款安全测试工具,遂拿来学习并投入项目中实践下。 二、Drozer介绍: Drozer是一款针对Android的安全测试框架,分为安装在PC端的控制台、安装在终端上的代理APP两部分。可以利用APP的IPC通信,动态的发现被测试APP的安全风险。 三、安装 1、官方下载地址 https://labs.mwrinfosecurity.com/tools/drozer/ 2、安装比较...
drozer工具介绍和使用_drozer工具用途(1)
最新发布
2401_84545339的博客
05-16 397
drozer是一款针对Android系统的安全测试框架,可以分成两个部分:其一是“console”,它运行在本地计算机上;其二是“server”,它是一个安装在目标Android设备上的app,当使用console与Android设备交互时,就是把Java代码输入到运行在实际设备上的drozer代理(agent)中。
drozer-Android安全测试基本使用教程(Windows10)
jianglianye21的博客
06-12 1万+
drozer官网地址:https://labs.mwrinfosecurity.com/tools/drozer/ 一、安装 1.1 环境要求 (1)jdk1.6+ (2)python2.7 (3)android sdk 确保配置了adb、java环境变量 1.2 Window10安装drozer 2、 下载drozer https://labs.mwrinfosecuri...
Ubuntu优化_优化ubuntu网络,2024年最新字节跳动面试分享
2201_75863152的博客
04-15 598
欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!1.卸载掉系统自带的不好用或者基本不用的软件。
drozer-2.4.4.安装
05-09
drozer是一款由MWR InfoSecurity开发的Android渗透测试工具,它可以通过网络连接直接与安装在目标设备上的Android应用程序交互,并获取应用程序的信息、执行应用程序的操作,以及控制应用程序的行为。安装drozer的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值