Drozer Tutorial
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Consejo de bug bounty: regístrate en Intigriti, una plataforma de bug bounty premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Sieve (de mrwlabs)
Partes de este tutorial fueron extraídas de la documentación pdf de Drozer.
Instala el Cliente Drozer dentro de tu host. Descárgalo de las últimas versiones.
Descarga e instala el APK de drozer desde las últimas versiones. En este momento es este.
Agent se está ejecutando en el puerto 31415, necesitamos port forward para establecer la comunicación entre el Drozer Client y Agent, aquí está el comando para hacerlo:
Finalmente, lanza la aplicación y presiona el botón "ON"
Y conéctate a ella:
Comandos | Descripción |
Help MODULE | Muestra la ayuda del módulo seleccionado |
list | Muestra una lista de todos los módulos de drozer que se pueden ejecutar en la sesión actual. Esto oculta los módulos que no tienes permisos apropiados para ejecutar. |
shell | Inicia un shell de Linux interactivo en el dispositivo, en el contexto del Agente. |
clean | Elimina archivos temporales almacenados por drozer en el dispositivo Android. |
load | Carga un archivo que contiene comandos de drozer y los ejecuta en secuencia. |
module | Encuentra e instala módulos adicionales de drozer desde Internet. |
unset | Elimina una variable nombrada que drozer pasa a cualquier shell de Linux que genera. |
set | Almacena un valor en una variable que se pasará como una variable de entorno a cualquier shell de Linux generado por drozer. |
shell | Inicia un shell de Linux interactivo en el dispositivo, en el contexto del Agente |
run MODULE | Ejecuta un módulo de drozer |
exploit | Drozer puede crear exploits para ejecutar en el dispositivo. |
payload | Los exploits necesitan un payload. |
Encuentra el nombre del paquete filtrando por parte del nombre:
Información básica del paquete:
Leer Manifest:
Superficie de ataque del paquete:
Actividades: Tal vez puedas iniciar una actividad y eludir algún tipo de autorización que debería impedirte lanzarla.
Proveedores de contenido: Tal vez puedas acceder a datos privados o explotar alguna vulnerabilidad (SQL Injection o Path Traversal).
Servicios:
es depurable: Aprende más
El valor “android:exported” de un componente de actividad exportado se establece en “true” en el archivo AndroidManifest.xml:
Lista de actividades exportadas:
Iniciar actividad:
Quizás puedas iniciar una actividad y eludir algún tipo de autorización que debería impedirte lanzarla.
También puedes iniciar una actividad exportada desde adb:
PackageName es com.example.demo
Exported ActivityName es com.example.test.MainActivity
Esta publicación era demasiado grande para estar aquí, así que puedes acceder a ella en su propia página aquí.
Un servicio exportado se declara dentro del Manifest.xml:
Dentro del código verifica la función handleMessage que recibirá el mensaje:
Mira la ayuda de drozer para app.service.send:
Ten en cuenta que primero enviarás los datos dentro de "msg.what", luego "msg.arg1" y "msg.arg2", deberías verificar dentro del código qué información se está utilizando y dónde.
Usando la opción --extra puedes enviar algo interpretado por "msg.replyTo", y usando --bundle-as-obj creas un objeto con los detalles proporcionados.
En el siguiente ejemplo:
what == 2354
arg1 == 9234
arg2 == 1
replyTo == object(string com.mwr.example.sieve.PIN 1337)
En la sección de información básica de Android, puedes ver qué es un Broadcast Receiver.
Después de descubrir estos Broadcast Receivers, deberías revisar el código de ellos. Presta especial atención a la función onReceive ya que se encargará de manejar los mensajes recibidos.
En este ejemplo, abusando del apk de FourGoats Content Provider, puedes enviar un SMS arbitrario a cualquier destino no premium sin pedir permiso al usuario.
Si lees el código, los parámetros "phoneNumber" y "message" deben ser enviados al Content Provider.
Un APK de producción nunca debería ser depurable. Esto significa que puedes adjuntar un depurador de java a la aplicación en ejecución, inspeccionarla en tiempo de ejecución, establecer puntos de interrupción, avanzar paso a paso, recopilar valores de variables e incluso cambiarlos. El instituto InfoSec tiene un excelente artículo sobre cómo profundizar cuando tu aplicación es depurable e inyectar código en tiempo de ejecución.
Cuando una aplicación es depurable, aparecerá en el Manifiesto:
Puedes encontrar todas las aplicaciones depurables con Drozer:
Consejo de recompensas por errores: regístrate en Intigriti, una plataforma de recompensas por errores premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
