drozer的使用

最新推荐文章于 2024-11-05 15:08:18 发布
最新推荐文章于 2024-11-05 15:08:18 发布
阅读量123 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/873595/blog/386205

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一、drozer的安装以及环境的准备

  1. PC上需配置的环境:

  JRE或JDK

  Android SDK

 adb

 java

 

 2.手机客户端或者模拟器需要安装:

 adb install agent.apk

http://download.youkuaiyun.com/detail/charles_hwy/8460625

 

二、drozer的使用

  1. 启动agent,使用drozer连接客户端agent

    adb forward tcp:31415 tcp:31415

  171737_5TuG_873595.png


C:\drozer\drozer.bat console connect

171925_ra49_873595.png

173134_YOJV_873595.png

2.   启动成功之后,开始测试应用程序(sieve)

sieve的下载地址:https://www.mwrinfosecurity.com/system/assets/380/original/sieve.apk

2.1  找出应用程序的包名:

run app.package.list -f sieve

173331_oClv_873595.png

 

2.2 列出应用程序基本信息(版本、数据存储目录、用户ID,组ID,是否有共享库、权限信息)

run app.package.info -a com.mwr.example.sieve

173528_JQB6_873595.png

 

2.3确定攻击面(这个测试教程主要关注的是Android 固有的IPC通信机制的脆弱性,这些特点导致了App泄漏敏感信息给同一台设备上的其它App。

   run app.package.attacksurface com.mwr.example.sieve

173658_s1eM_873595.png

结果显示了潜在可以利用的组件个数: “exported”表示组件可以被其他App使用。 services is debuggable表示我们可以用adb绑定一个调试器到进程。

 

2.4、进一步获取Attack surface的信息

run app.activity.info -a com.mwr.example.sieve

174531_j1Sk_873595.png

 MainLoginActivity是程序启动时主界面,必须是exported,其他两个activity是理论上说是不能exported的。

 

  2.5从content provider读取信息

run app.provider.info -a com.mwr.example.sieve

175133_gBXa_873595.png

从上图可以看到2.3节中两个exported的content provider的具体信息,包括名字,权限,访问路径等。

 

2.6 基于数据库的content provider(数据泄露)

run scanner.provider.finduris -a com.mwr.example.sieve

175549_zeyC_873595.png

上图中检测出了可以访问content的URI。

 

3.content provider漏洞检测(检测是否有SQL注入)

run scanner.provider.injection -a com.mwr.example.sieve

180218_gYHW_873595.png

检查是否存在遍历文件的漏洞:

run scanner.provider.traversal -a com.mwr.example.sieve

 145231_91db_873595.png

 

4.与services交互的信息

 run app.service.info -a com.mwr.example.sieve

180740_QvkF_873595.png

  services模块的内容:

 145445_ored_873595.png

 (简单写一下,后续补充)

 

 

 

 

 

 

 

 

 

 

 

 

 

转载于:https://my.oschina.net/u/873595/blog/386205

Drozer安装配置和报错解决指南
Kevin's Blog
10-17 3905
文章目录1. 启动报java路径错误2. 启动报不是有效的Win32程序3. 启动报连接错误4. 运行模块报未知模块5. 运行模块中文乱码和模块报Error 0 1. 启动报java路径错误 报错环境: drozer 2.3.4安装完成首次启动(这个版本可以选择安装路径,也是和agent相同的版本,但是高版本2.4.4使用2.3.4的agent完全不受影响) 报错如下: (由于自己选择安装位置进行安装,找不到java安装路径,配置一路径放到指定目录即可) 解决方法: 先在c盘建立一dorzer配置文件,
Drozer使用指南
01-25
**Drozer 使用指南** Drozer 是一款强大的Android安全评估工具,由MWR InfoSecurity开发,用于检测和利用Android应用程序、系统服务以及设备上的安全漏洞。它通过提供一套全面的API,使得安全研究人员和渗透测试...
sIEve中文使用文档
java的涟漪
09-26 148
sIEve项目是为了是为了发现和解决由于Internet Explorer中垃圾回收器(garbage collector)的容量限制所引起的内存泄露问题。例如执行AJAX这样的应用程序时,将会给浏览器带来很大的压力。Internet Explorer在内存管理方面表现的并不是很好,话句话说,在处理JavaScript和DHTML的操作时,很容易发生一系列的内存泄露问题。 主界面主要指标介绍: ...
5.移动渗透测试工具之drozer
weixin_30483495的博客
01-12 657
本篇博文主要来介绍drozer在移动渗透中的作用 本次实验环境所用工具为:夜神模拟器,drozer-2.3.4,sieve.apk,adb drozer安装这里不再多嘴,给出链接:https://www.cnblogs.com/JDragons/p/5596258.html adb作为移动与pc的调试桥,我这里也已经安装完成。 1.安装agent.apk 在模拟器中运行drozer...
使用drozer对app进行评估(转载)
weixin_30852367的博客
02-03 287
使用drozer对Android应用进行安全评估的测试例子 看着drozer的用户说明文档,试了几个Android App,测试发现这几个App都基本没什么问题,只好又用drozer提供的sieve来进行练习了。进行安装评估的步骤一般也就是下面的标题步骤了。 1 在Android设备上安装使用sieve sieve是一个密码管理器App,用来展示Android应用的一些共同缺陷,可以用来练习...
Android静态安全检测 -> Content Provider组件暴露
4lwin博客
07-08 4395
Content Provider组件暴露 - exported属性 1. android:exported 该属性指示了content provider是否可以被其他应用程序使用 true 代表该content provider可以被其他应用程序使用,其他所有的应用程序都可以通过该content provider提供的URI访问由该content provider提供
Drozer 使用说明
lei7143的专栏
06-15 3384
1、安装JDK 、SDK、python ,并设置到环境变量 2、下载drozer 、下载 agent.apk https://labs.mwrinfosecurity.com/tools/drozer/ 3、安装drozer ,并将其加入python 路径 方法: python site-packages 下创建 .pth 文件 C:\Python27\Lib\site-packag...
Drozer安装使用教程
chenyuaa的博客
11-05 1349
drozer主要用来进行安卓应用检测和调试,检测主要针对四大核心组件漏洞进行检测(activity、content、provider、service),支持获取、启动和监测各个组件从而进行调试,以下为Drozer模块命令大全。这里因为我本地有jdk(java核心组件)、adb(安卓调试桥)的相应环境,所以只介绍核心的python和drozer安装,其他缺少的可参考。drozer支持检测应用的四大核心组件(activity、content、provider、service)的暴露攻击面。
Drozer使用摘要
weixin_40763897的博客
10-24 1844
完整教程,请参考《mwri-drozer-user-guide-2015-03-23.pdf》 Drozer是交互式的安全测试工具。 1、先决条件 jdk1.6(亲测高版本也没有问题) python 2.7 adb调试工具 确保上面的工具都包含在以下的环境变量配置中 java环境变量配置 Android SDK环境变量配置 2、下载Drozer并安装 https://labs.f-secu...
android安全框架工具drozer使用指南
11-28
2. 在CMD中,使用`adb devices`检查设备连接,`adb forward tcp:31415 tcp:31415`设置端口转发,然后`drozer.bat console connect`连接到手机。 3. 开始测试: - `run app.package.list –f shinow`查找APP全称。 ...
Drozer使用手册(APP安全测试)
01-07
使用 drozer 之前,用户需要对 Android 平台有一定的了解,特别是它的 IPC 机制。推荐先阅读 Android 开发者指南。此外,"移动应用程序黑客手册"也是一份有价值的资源,其中详细介绍了 Android 安全概念和 drozer ...
Drozer 使用指南英文版.rar
02-25
Drozer 使用指南英文版 Drozer 有助于提供信心,即由您的组织开发或部署的 Android 应用程序和设备不会带来不可接受的风险。通过允许您与 DalvikVM、其他应用程序的 IPC 端点和底层操作系统进行交互 Drozer 提供了...
Drozer 使用指南(中文版).pdf
02-25
Drozer使用指南详细介绍了如何安装和使用这个工具,包括了对Drozer概念的讲解、如何安装以及在不同操作系统环境下的配置方法。尽管文档中有些内容是通过OCR扫描得到的,可能包含技术原因导致的个别字识别错误或漏...
美赛教程&建模&数据分析&案例分析&文档写作&编程实现等资源
08-16
美赛教程&建模&数据分析&案例分析&文档写作&编程实现等资源
自动驾驶场景库的提取方案及实现代码解析 自动驾驶场景库提取方案与实现代码详解 自动驾驶场景库提取方案及实现代码设计 自动驾驶场景库提取方案及实现代码构建 自动驾驶场景库提取方案及实现代码方案 自动驾驶
08-16
资源下载链接为: https://pan.quark.cn/s/8471dd710e10 自动驾驶场景库的提取方案及实现代码解析 自动驾驶场景库提取方案与实现代码详解 自动驾驶场景库提取方案及实现代码设计 自动驾驶场景库提取方案及实现代码构建 自动驾驶场景库提取方案及实现代码方案 自动驾驶场景库提取方法及实现代码方案 自动驾驶场景库提取方案及实现代码研究 自动驾驶场景库的提取方案及实现代码 自动驾驶场景库提取完整方案及实现代码 自动驾驶场景库提取方案及实现代码详述(最新、最全版本!打开链接下载即可用!)
基于 YoloP 模型打造的自动驾驶感知工具
08-16
资源下载链接为: https://pan.quark.cn/s/bd85ece37e57 基于 YoloP 模型打造的自动驾驶感知工具(最新、最全版本!打开链接下载即可用!)
海底管道腐蚀缺陷生长与多物理场耦合分析综述(含详细代码及解释)
08-16
内容概要:本文深入探讨了海底管道在运行压力和轴向位移作用下腐蚀缺陷生长的影响。基于多物理场耦合和变形几何的三维有限元模型,模拟了海底管道在海洋泥浆环境中的缺陷生长过程。研究揭示了更深的缺陷和更大的运行压力会增强局部应力集中和腐蚀速率;腐蚀速率随管道轴向位移呈现先减小后增大的趋势;运行压力导致管道优先在缺陷底部腐蚀,而轴向位移则倾向于在整个缺陷表面形成均匀腐蚀。文章还提出了一种基于非稳态多物理场模拟的海底管道剩余寿命评估方法,并通过Python和FEniCS库实现了有限元分析代码,用于模拟腐蚀缺陷生长和电化学-力学耦合分析。; 适合人群:从事海洋工程、管道工程及相关领域的科研人员和技术工程师。; 使用场景及目标:①研究海底管道腐蚀缺陷生长机制;②评估海底管道的剩余寿命;③优化海底管道的维护和管理策略;④开发更精确的腐蚀预测模型。; 其他说明:本文不仅提供了理论分析和实验数据,还给出了详细的Python代码实现,方便读者进行复现和进一步研究。模型创新性地结合了力学和电化学效应,实现了腐蚀缺陷演化的高精度模拟,为海底管道的安全运行提供了先进的数值分析工具。
嵌入式开发-Qt框架-C编程-轻量级虚拟键盘-跨平台输入法-中文英文数字符号输入-大小写切换-皮肤主题定制-手写识别功能-开源学习项目-适用于Linux-Windows-And.zip
最新发布
08-16
pycharm嵌入式开发_Qt框架_C编程_轻量级虚拟键盘_跨平台输入法_中文英文数字符号输入_大小写切换_皮肤主题定制_手写识别功能_开源学习项目_适用于Linux_Windows_And.zip
自动驾驶电动车辆研究白皮书 自动驾驶电动耗子研究白皮书 关于自动驾驶电耗子的研究白皮书 自动驾驶电动耗子相关研究白皮书 自动驾驶电耗子技术研究白皮书 自动驾驶电耗子领域研究白皮书 自动驾驶电耗子专题研
08-16
资源下载链接为: https://pan.quark.cn/s/4f07e5d63237 自动驾驶电动车辆研究白皮书 自动驾驶电动耗子研究白皮书 关于自动驾驶电耗子的研究白皮书 自动驾驶电动耗子相关研究白皮书 自动驾驶电耗子技术研究白皮书 自动驾驶电耗子领域研究白皮书 自动驾驶电耗子专题研究白皮书 自动驾驶电耗子综合研究白皮书 自动驾驶电耗子深度研究白皮书 自动驾驶电耗子全面研究白皮书(最新、最全版本!打开链接下载即可用!)
drozer使用教程
07-27
下面是一个简单的drozer使用教程: 1. 安装drozer:首先,你需要在你的机器上安装drozer。你可以从官方网站(https://github.com/FSecureLABS/drozer)下载最新的二进制版本,并按照官方文档进行安装。 2. 连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值