Drozer Tutorial
Last updated
Last updated
Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Dica de bug bounty: inscreva-se no Intigriti, uma plataforma de bug bounty premium criada por hackers, para hackers! Junte-se a nós em https://go.intigriti.com/hacktricks hoje e comece a ganhar recompensas de até $100,000!
Sieve (do mrwlabs)
Partes deste tutorial foram extraídas da documentação do Drozer pdf.
Instale o Drozer Client dentro do seu host. Baixe-o a partir das últimas versões.
Baixe e instale o APK do drozer a partir das últimas versões. Neste momento, é este.
O Agent está rodando na porta 31415, precisamos encaminhar a porta para estabelecer a comunicação entre o Drozer Client e o Agent, aqui está o comando para fazer isso:
Finalmente, inicie a aplicação e pressione o botão "ON"
E conecte-se a ela:
Comandos
Descrição
Help MODULE
Mostra a ajuda do módulo selecionado
list
Mostra uma lista de todos os módulos drozer que podem ser executados na sessão atual. Isso oculta módulos que você não tem permissões apropriadas para executar.
shell
Inicia um shell Linux interativo no dispositivo, no contexto do Agente.
clean
Remove arquivos temporários armazenados pelo drozer no dispositivo Android.
load
Carrega um arquivo contendo comandos drozer e os executa em sequência.
module
Encontra e instala módulos drozer adicionais da Internet.
unset
Remove uma variável nomeada que o drozer passa para qualquer shell Linux que ele gera.
set
Armazena um valor em uma variável que será passada como uma variável ambiental para qualquer shell Linux gerado pelo drozer.
shell
Inicia um shell Linux interativo no dispositivo, no contexto do Agente
run MODULE
Executa um módulo drozer
exploit
O drozer pode criar exploits para executar no dispositivo. drozer exploit list
payload
Os exploits precisam de um payload. drozer payload list
Encontre o nome do pacote filtrando por parte do nome:
Informações Básicas do pacote:
Leia Manifest:
Superfície de ataque do pacote:
Atividades: Talvez você possa iniciar uma atividade e contornar algum tipo de autorização que deveria impedi-lo de lançá-la.
Provedores de conteúdo: Talvez você possa acessar dados privados ou explorar alguma vulnerabilidade (SQL Injection ou Path Traversal).
Serviços:
is debuggable: Saiba mais
O valor “android:exported” de um componente de atividade exportado é definido como “true” no arquivo AndroidManifest.xml:
Listar atividades exportadas:
Iniciar atividade:
Talvez você possa iniciar uma atividade e contornar algum tipo de autorização que deveria impedi-lo de lançá-la.
Você também pode iniciar uma atividade exportada a partir do adb:
PackageName é com.example.demo
Exported ActivityName é com.example.test.MainActivity
Este post era muito grande para estar aqui, então você pode acessá-lo em sua própria página aqui.
Um serviço exportado é declarado dentro do Manifest.xml:
Dentro do código verifique a função **handleMessage
** que irá receber a mensagem:
Dê uma olhada na ajuda do drozer para app.service.send
:
Note que você enviará primeiro os dados dentro de "msg.what", depois "msg.arg1" e "msg.arg2", você deve verificar dentro do código quais informações estão sendo usadas e onde.
Usando a opção --extra
você pode enviar algo interpretado por "msg.replyTo", e usando --bundle-as-obj
você cria um objeto com os detalhes fornecidos.
No exemplo a seguir:
what == 2354
arg1 == 9234
arg2 == 1
replyTo == object(string com.mwr.example.sieve.PIN 1337)
Na seção de informações básicas do Android, você pode ver o que é um Broadcast Receiver.
Após descobrir esses Broadcast Receivers, você deve verificar o código deles. Preste atenção especial à função onReceive
, pois ela lidará com as mensagens recebidas.
Neste exemplo, abusando do FourGoats apk Content Provider, você pode enviar um SMS arbitrário para qualquer destino não premium sem pedir permissão ao usuário.
Se você ler o código, os parâmetros "phoneNumber" e "message" devem ser enviados para o Content Provider.
Um APK de produção nunca deve ser depurável. Isso significa que você pode anexar um depurador java à aplicação em execução, inspecioná-la em tempo de execução, definir pontos de interrupção, avançar passo a passo, coletar valores de variáveis e até mesmo alterá-los. O InfoSec Institute tem um excelente artigo sobre como aprofundar-se quando sua aplicação é depurável e injetar código em tempo de execução.
Quando uma aplicação é depurável, ela aparecerá no Manifest:
Você pode encontrar todos os aplicativos depuráveis com Drozer:
Dica de bug bounty: inscreva-se no Intigriti, uma plataforma de bug bounty premium criada por hackers, para hackers! Junte-se a nós em https://go.intigriti.com/hacktricks hoje e comece a ganhar recompensas de até $100,000!
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)