Drozer Tutorial
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Consejo de bug bounty: regístrate en Intigriti, una plataforma de bug bounty premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Sieve (de mrwlabs)
Partes de este tutorial fueron extraídas de la documentación pdf de Drozer.
Instala el Cliente Drozer dentro de tu host. Descárgalo de las últimas versiones.
Descarga e instala el APK de drozer desde las últimas versiones. En este momento es esta.
Agent está ejecutándose en el puerto 31415, necesitamos port forward para establecer la comunicación entre el Drozer Client y Agent, aquí está el comando para hacerlo:
Finalmente, lanza la aplicación y presiona el botón "ON"
Y conéctate a ella:
Comandos
Descripción
Help MODULE
Muestra la ayuda del módulo seleccionado
list
Muestra una lista de todos los módulos de drozer que se pueden ejecutar en la sesión actual. Esto oculta los módulos que no tienes permisos apropiados para ejecutar.
shell
Inicia un shell de Linux interactivo en el dispositivo, en el contexto del Agente.
clean
Elimina archivos temporales almacenados por drozer en el dispositivo Android.
load
Carga un archivo que contiene comandos de drozer y los ejecuta en secuencia.
module
Encuentra e instala módulos adicionales de drozer desde Internet.
unset
Elimina una variable nombrada que drozer pasa a cualquier shell de Linux que genera.
set
Almacena un valor en una variable que se pasará como una variable de entorno a cualquier shell de Linux generado por drozer.
shell
Inicia un shell de Linux interactivo en el dispositivo, en el contexto del Agente
run MODULE
Ejecuta un módulo de drozer
exploit
Drozer puede crear exploits para ejecutar en el dispositivo. drozer exploit list
payload
Los exploits necesitan un payload. drozer payload list
Encuentra el nombre del paquete filtrando por parte del nombre:
Información básica del paquete:
Leer Manifest:
Superficie de ataque del paquete:
Actividades: Tal vez puedas iniciar una actividad y eludir algún tipo de autorización que debería prevenirte de lanzarla.
Proveedores de contenido: Tal vez puedas acceder a datos privados o explotar alguna vulnerabilidad (SQL Injection o Path Traversal).
Servicios:
is debuggable: Aprende más
El valor “android:exported” de un componente de actividad exportado está configurado como “true” en el archivo AndroidManifest.xml:
Listar actividades exportadas:
Iniciar actividad:
Quizás puedas iniciar una actividad y eludir algún tipo de autorización que debería impedirte lanzarla.
También puedes iniciar una actividad exportada desde adb:
PackageName es com.example.demo
Exported ActivityName es com.example.test.MainActivity
Esta publicación era demasiado grande para estar aquí, así que puedes acceder a ella en su propia página aquí.
Un servicio exportado se declara dentro del Manifest.xml:
Dentro del código verifica la función handleMessage
que recibirá el mensaje:
Mira la ayuda de drozer para app.service.send
:
Ten en cuenta que primero enviarás los datos dentro de "msg.what", luego "msg.arg1" y "msg.arg2", deberías verificar dentro del código qué información se está utilizando y dónde.
Usando la opción --extra
puedes enviar algo interpretado por "msg.replyTo", y usando --bundle-as-obj
creas un objeto con los detalles proporcionados.
En el siguiente ejemplo:
what == 2354
arg1 == 9234
arg2 == 1
replyTo == object(string com.mwr.example.sieve.PIN 1337)
En la sección de información básica de Android, puedes ver qué es un Broadcast Receiver.
Después de descubrir estos Broadcast Receivers, deberías revisar el código de ellos. Presta especial atención a la función onReceive
ya que se encargará de manejar los mensajes recibidos.
En este ejemplo, abusando del apk de FourGoats Content Provider, puedes enviar un SMS arbitrario a cualquier destino no premium sin pedir permiso al usuario.
Si lees el código, los parámetros "phoneNumber" y "message" deben ser enviados al Content Provider.
Un APK de producción nunca debe ser depurable. Esto significa que puedes adjuntar un depurador de java a la aplicación en ejecución, inspeccionarla en tiempo de ejecución, establecer puntos de interrupción, avanzar paso a paso, recopilar valores de variables e incluso cambiarlos. El instituto InfoSec tiene un excelente artículo sobre cómo profundizar cuando tu aplicación es depurable e inyectar código en tiempo de ejecución.
Cuando una aplicación es depurable, aparecerá en el Manifiesto:
Puedes encontrar todas las aplicaciones depurables con Drozer:
Consejo de recompensas por errores: regístrate en Intigriti, una plataforma de recompensas por errores premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)