Drozer Tutorial

Bug bounty tip: зареєструйтесь на Intigriti, преміум платформі для винагород за вразливості, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні та почніть заробляти винагороди до $100,000!

APKs to test

• Sieve (від mrwlabs)

• DIVA

Частини цього посібника були витягнуті з Drozer documentation pdf.

Installation

Встановіть Drozer Client на вашому хості. Завантажте його з останніх релізів.

pip install drozer-2.4.4-py2-none-any.whl
pip install twisted
pip install service_identity

Завантажте та встановіть drozer APK з останніх релізів. На даний момент це цей.

adb install drozer.apk

Запуск сервера

Агент працює на порту 31415, нам потрібно перенаправити порт, щоб встановити зв'язок між клієнтом Drozer та агентом, ось команда для цього:

adb forward tcp:31415 tcp:31415

Нарешті, запустіть додаток і натисніть кнопку "УВІМКНУТО"

І підключіться до нього:

drozer console connect

Цікаві команди

Пакет

Знайдіть ім'я пакету, фільтруючи за частиною імені:

dz> run app.package.list -f sieve
com.mwr.example.sieve

Основна інформація про пакет:

dz> run app.package.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
Process Name: com.mwr.example.sieve
Version: 1.0
Data Directory: /data/data/com.mwr.example.sieve
APK Path: /data/app/com.mwr.example.sieve-2.apk
UID: 10056
GID: [1028, 1015, 3003]
Shared Libraries: null
Shared User ID: null
Uses Permissions:
- android.permission.READ_EXTERNAL_STORAGE
- android.permission.WRITE_EXTERNAL_STORAGE
- android.permission.INTERNET
Defines Permissions:
- com.mwr.example.sieve.READ_KEYS
- com.mwr.example.sieve.WRITE_KEYS

Прочитайте Manifest:

run app.package.manifest jakhar.aseem.diva

Атакувальна поверхня пакету:

dz> run app.package.attacksurface com.mwr.example.sieve
Attack Surface:
3 activities exported
0 broadcast receivers exported
2 content providers exported
2 services exported
is debuggable

• Дії: Можливо, ви можете запустити дію та обійти якусь авторизацію, яка повинна заважати вам її запускати.

• Постачальники контенту: Можливо, ви можете отримати доступ до приватних даних або експлуатувати якусь вразливість (SQL Injection або Path Traversal).

• Сервіси:

• is debuggable: Дізнатися більше

Дії

Значення “android:exported” компонента експортованої дії встановлено на “true” у файлі AndroidManifest.xml:

<activity android:name="com.my.app.Initial" android:exported="true">
</activity>

Список експортованих активностей:

dz> run app.activity.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
com.mwr.example.sieve.FileSelectActivity
com.mwr.example.sieve.MainLoginActivity
com.mwr.example.sieve.PWList

Запустити активність:

Можливо, ви можете запустити активність і обійти якийсь вид авторизації, яка повинна заважати вам її запустити.

dz> run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList

Ви також можете запустити експортовану активність з adb:

• PackageName - com.example.demo

• Exported ActivityName - com.example.test.MainActivity

adb shell am start -n com.example.demo/com.example.test.MainActivity

Content Providers

Цей пост був занадто великим, щоб бути тут, тому ви можете доступити його на окремій сторінці тут.

Services

Експортована служба оголошується в Manifest.xml:

<service android:name=".AuthService" android:exported="true" android:process=":remote"/>

Всередині коду перевірте функцію **handleMessage**, яка буде отримувати повідомлення:

Список сервісів

dz> run app.service.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
com.mwr.example.sieve.AuthService
Permission: null
com.mwr.example.sieve.CryptoService
Permission: null

Взаємодіяти з сервісом

app.service.send            Send a Message to a service, and display the reply
app.service.start           Start Service
app.service.stop            Stop Service

Приклад

Подивіться на допомогу drozer для app.service.send:

Зверніть увагу, що спочатку ви будете надсилати дані всередині "msg.what", потім "msg.arg1" і "msg.arg2", вам слід перевірити в коді яка інформація використовується і де. Використовуючи опцію --extra, ви можете надіслати щось, що інтерпретується "msg.replyTo", а використовуючи --bundle-as-obj, ви створюєте об'єкт з наданими деталями.

У наступному прикладі:

• what == 2354

• arg1 == 9234

• arg2 == 1

• replyTo == object(string com.mwr.example.sieve.PIN 1337)

run app.service.send com.mwr.example.sieve com.mwr.example.sieve.AuthService --msg 2354 9234 1 --extra string com.mwr.example.sieve.PIN 1337 --bundle-as-obj

Broadcast Receivers

У розділі основної інформації Android ви можете побачити, що таке Broadcast Receiver.

Після виявлення цих Broadcast Receivers вам слід перевірити код цих компонентів. Зверніть особливу увагу на функцію onReceive, оскільки вона оброблятиме отримані повідомлення.

Виявити всі broadcast receivers

run app.broadcast.info #Detects all

Перевірте приймачі широкомовлення програми

#Check one negative
run app.broadcast.info -a jakhar.aseem.diva
Package: jakhar.aseem.diva
No matching receivers.

# Check one positive
run app.broadcast.info -a com.google.android.youtube
Package: com.google.android.youtube
com.google.android.libraries.youtube.player.PlayerUiModule$LegacyMediaButtonIntentReceiver
Permission: null
com.google.android.apps.youtube.app.common.notification.GcmBroadcastReceiver
Permission: com.google.android.c2dm.permission.SEND
com.google.android.apps.youtube.app.PackageReplacedReceiver
Permission: null
com.google.android.libraries.youtube.account.AccountsChangedReceiver
Permission: null
com.google.android.apps.youtube.app.application.system.LocaleUpdatedReceiver
Permission: null

Взаємодії Broadcast

app.broadcast.info          Get information about broadcast receivers
app.broadcast.send          Send broadcast using an intent
app.broadcast.sniff         Register a broadcast receiver that can sniff particular intents

Відправити повідомлення

У цьому прикладі, зловживаючи FourGoats apk Content Provider, ви можете відправити довільне SMS на будь-який непреміумний номер без запиту дозволу у користувача.

Якщо ви прочитаєте код, параметри "phoneNumber" та "message" повинні бути надіслані до Content Provider.

run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --component org.owasp.goatdroid.fourgoats.broadcastreceivers SendSMSNowReceiver --extra string phoneNumber 123456789 --extra string message "Hello mate!"

Чи є можливість налагодження

Продуктова APK ніколи не повинна бути налагоджуваною. Це означає, що ви можете підключити java налагоджувач до запущеного додатку, перевірити його в режимі виконання, встановити точки зупинки, крок за кроком, збирати значення змінних і навіть змінювати їх. InfoSec institute має відмінну статтю про те, як заглибитися, коли ваш додаток є налагоджуваним і інжектувати код під час виконання.

Коли додаток є налагоджуваним, він з'явиться в Маніфесті:

<application theme="@2131296387" debuggable="true"

Ви можете знайти всі додатки, які можна налагоджувати, за допомогою Drozer:

run app.package.debuggable

Tutorials

• https://resources.infosecinstitute.com/android-penetration-tools-walkthrough-series-drozer/#gref

• https://github.com/mgcfish/mobiletools/blob/master/_posts/2016-08-01-Using-Drozer-for-application-security-assessments.md

• https://www.hackingarticles.in/android-penetration-testing-drozer/

• https://medium.com/@ashrafrizvi3006/how-to-test-android-application-security-using-drozer-edc002c5dcac

More info

• https://blog.dixitaditya.com/android-pentesting-cheatsheet/

Bug bounty tip: зареєструйтесь на Intigriti, преміум платформі для bug bounty, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні та почніть заробляти винагороди до $100,000!