1. 项目概述为什么Drozer依然是Android安全评估的“瑞士军刀”在移动安全领域Android因其开放性和庞大的市场份额始终是安全研究人员和渗透测试人员的核心战场。面对一个复杂的Android应用或系统如何快速、深入地评估其安全状况发现潜在的漏洞和风险点很多新手可能会想到反编译、动态调试或者使用一些自动化扫描工具。但真正深入到应用间通信、权限滥用、组件暴露等核心安全问题层面时一款名为Drozer的工具依然是许多资深从业者工具箱里的首选。它不像一些图形化工具那样“一键出报告”而是提供了一个强大的交互式命令行环境让你能够像与系统“对话”一样主动探测、查询和攻击目标应用。这次我们不谈泛泛的安装和使用而是聚焦于Drozer的灵魂——模块。理解并熟练运用模块你才能真正解锁Drozer的全部威力从被动的工具使用者转变为主动的安全探索者。简单来说Drozer模块就是一系列预定义好的“攻击脚本”或“探测指令”。Drozer框架本身提供了一个执行环境Agent安装在目标设备Console运行在测试机而模块则填充了具体的功能。你可以把Drozer Console看作一个命令行解释器而每一个模块就是一条功能强大的命令。这些模块覆盖了信息收集、权限提升、应用间攻击Intent攻击、数据泄露、SQL注入等方方面面。对于安全评估人员而言掌握模块就相当于掌握了一套针对Android安全的“组合拳法”能够系统性地对应用进行体检。无论是想了解一个应用暴露了哪些组件还是想测试它是否容易受到权限绕过攻击亦或是想挖掘其私有文件中的数据都有对应的模块可以调用。接下来我们将深入拆解Drozer模块的体系、核心模块的应用以及如何将其融入实际的评估流程中。2. Drozer模块体系深度解析从分类到运行机制要玩转Drozer模块首先得理解它的组织架构和运行原理。这能帮助你在面对数百个模块时快速找到所需并理解其输出结果的含义。2.1 模块的分类与定位Drozer的模块库非常丰富通常按功能领域进行分类。在Drozer Console中使用list命令可以查看所有可用模块。更常见的做法是按类别查看例如list app会列出所有与应用相关的模块。主要的模块类别包括app这是最常用的一类专注于单个应用的安全评估。包括分析应用权限、暴露的Activity、Service、Content Provider、Broadcast Receiver以及测试这些组件的安全性。auxiliary辅助性模块提供一些通用功能如创建用于测试的脆弱应用、执行一些系统级命令需权限、进行网络扫描等。可以理解为“工具箱”。exploit漏洞利用模块。这类模块通常针对已知的特定漏洞CVE编号尝试在目标设备上获取更高权限如root。使用这类模块需要格外谨慎并确保在授权范围内测试。information信息收集模块。用于收集设备本身的信息如系统版本、已安装应用列表、设备ID、网络配置等。这是评估开始的基础步骤。shell提供各种shell交互和命令执行的模块。在获取了一定权限后可以通过这些模块在设备上执行命令上传下载文件等。tools工具类模块提供一些编解码、哈希计算等实用功能。理解这个分类能让你在评估的不同阶段快速定位工具。例如初期用information模块摸清环境然后用app模块对目标应用进行深度剖析发现可疑点后再用exploit或shell模块尝试深入。2.2 模块的运行机制与Agent的角色这是理解Drozer工作的关键。Drozer采用客户端-服务器架构但这里的“服务器”是安装在目标Android设备或模拟器上的一个轻量级Agent应用。Agent它是一个普通的APK文件drozer-agent.apk安装到目标设备上。启动后它会开启一个服务等待来自Drozer Console的连接。Agent的本质是一个“命令执行中介”。它接收来自Console的指令即模块执行请求在设备本地调用相应的Android API来执行这些指令然后将结果返回给Console。所有对目标应用的探测操作实际上都是由Agent以其自身的权限或通过与目标应用交互在设备本地完成的。这意味着Agent的权限会影响测试的深度。例如如果Agent安装在一个非root的普通用户空间它将无法访问其他应用受保护的私有数据。Console运行在你的测试机通常是PC支持Windows、Linux、macOS上的Python程序。它通过ADBAndroid Debug Bridge与设备建立转发连接或者通过Wi-Fi网络直接连接到Agent。Console提供交互式界面你在这里输入模块命令Console将其打包发送给Agent并接收和显示Agent返回的结果。一个典型的模块执行流程 你在Console输入run app.package.list。Console将这个请求通过连接发送给设备上的Agent。Agent接收到指令后在设备内部调用PackageManager.getInstalledPackages()等API获取应用列表。Agent将获取到的列表数据整理后发回给Console。Console最终将结果以格式化的表格或列表形式展示给你看。注意很多新手会混淆ADB和Drozer的权限。ADB用于建立连接和端口转发初始的adb shell权限可能是shell用户或root取决于设备是否已root并开启了adb root。但Drozer Agent运行在Android应用沙箱内其权限是独立的默认只有普通应用权限。获取更高权限如利用漏洞提权是Drozer评估的一部分目标而非前提。2.3 模块的查找、帮助与参数设置面对一个陌生的模块如何快速上手查找模块除了list还可以用search命令。例如你想找所有和“content provider”相关的模块可以运行search provider。查看模块帮助这是最重要的步骤。在运行任何模块前务必先使用run module.name --help查看其详细说明、参数和示例。例如run app.package.info --help。帮助信息会告诉你这个模块是干什么的需要哪些参数哪些是必选的-a哪些是可选的-o以及简单的使用例子。设置模块参数模块参数通过-a(argument) 来指定。例如run app.package.info -a com.example.vulnapp就是获取包名为com.example.vulnapp的应用的详细信息。对于可选参数使用-o(option)。多个参数用空格分隔。理解模块体系后我们就可以进入实战看看如何用这些模块像手术刀一样解剖一个Android应用。3. 核心安全评估模块实战应用详解我们以一个假设的脆弱应用com.example.vulnapp为目标模拟一次精简的渗透测试流程展示核心模块的实际应用。3.1 信息收集阶段绘制目标画像在发起任何“攻击”前充分的侦察是必不可少的。3.1.1 枚举设备与应用基础信息run information.deviceinfo这个命令会输出设备型号、Android版本、SDK级别、屏幕分辨率等。Android版本和SDK级别至关重要因为它们决定了可用的API和已知的漏洞范围。run app.package.list列出设备上所有安装的包。输出通常很长我们可以结合grep来过滤。在Drozer Console中可以使用-f参数进行过滤run app.package.list -f vuln来查找包名中包含“vuln”的应用从而定位我们的目标。3.1.2 深度剖析目标应用找到目标包名后进行深度分析run app.package.info -a com.example.vulnapp这个模块会返回应用的详细信息包括UID/GID应用在系统中的用户/组ID用于权限判断。共享用户ID如果设置了意味着它与其他应用共享Linux用户可能拥有更多权限。安装路径、数据路径APK和私有数据存储的位置。权限列表这是重中之重。它会列出应用声明的所有权限uses-permission。你需要仔细审查这些权限判断其是否过度申请。例如一个记事本应用申请了READ_SMS和ACCESS_FINE_LOCATION权限就非常可疑。run app.package.attacksurface com.example.vulnapp这是Drozer最具价值的模块之一。它分析目标应用暴露在外的“攻击面”即有多少组件Activity, Service, Content Provider, Broadcast Receiver是导出的exportedtrue。导出的组件可以被设备上的其他应用包括我们的Drozer Agent调用是潜在的安全风险入口。该模块会给出一个清晰的统计和列表。3.2 组件安全测试寻找入口点根据attacksurface的结果我们可以对导出的组件进行深入测试。3.2.1 Activity劫持与越权访问run app.activity.info -a com.example.vulnapp列出目标应用的所有Activity并标记哪些是导出的。对于导出的Activity我们可以尝试启动它。run app.activity.start --component com.example.vulnapp com.example.vulnapp.ExportActivity如果这个Activity不需要任何额外的Intent数据或权限就能打开并且它本身包含敏感功能如修改密码、查看内部数据那么就存在越权访问漏洞。更高级的测试是尝试向Activity传递恶意Intent数据触发其异常行为比如崩溃或逻辑错误。3.2.2 Content Provider数据泄露Content Provider是Android应用间共享数据的主要机制也是最容易出问题的地方之一。run app.provider.info -a com.example.vulnapp列出应用的所有Content Provider及其权限。重点关注uri和读写权限。run app.provider.query content://com.example.vulnapp.provider/userdata尝试查询一个Content Provider。如果成功返回数据说明该Provider至少是可读的且可能未做充分的权限校验。Drozer甚至可以尝试进行SQL注入run app.provider.query content://com.example.vulnapp.provider/userdata --projection “* FROM sqlite_master WHERE type’table’;--”如果Provider底层使用SQLite且对查询参数未做过滤此类注入可能泄露数据库结构甚至所有数据。run app.provider.download content://com.example.vulnapp.provider/files/../config.xml /data/local/tmp/config.xml利用路径遍历漏洞如果存在尝试下载应用私有目录下的文件。3.2.3 广播接收器与权限绕过run app.broadcast.info -a com.example.vulnapp列出Broadcast Receiver。测试导出的Receiver是否可以接收恶意广播。run app.broadcast.send --action com.example.vulnapp.ACTION_UPDATE --extra string data “malicious_payload”发送一个广播观察应用行为。有些应用通过广播传递敏感指令如果接收器未校验发送方权限或数据可能导致权限绕过。3.2.4 Service测试run app.service.info -a com.example.vulnapp列出Service。对于导出的Service可以尝试绑定并与之交互。run app.service.start --component com.example.vulnapp com.example.vulnapp.ExportService run app.service.send --component com.example.vulnapp com.example.vulnapp.ExportService --msg 1234 1 2 --extra string cmd “delete_all”某些Service可能包含远程执行命令或处理敏感请求的功能不当的调用可能导致拒绝服务或数据损坏。3.3 权限与意图攻击进阶3.3.1 权限滥用与提升Drozer可以帮助我们理解权限上下文。run app.context命令可以列出Agent当前运行环境的上下文信息包括拥有的权限。通过run app.package.manifest package可以查看应用的完整AndroidManifest.xml分析权限声明、组件定义和Intent Filter。一个经典的测试场景是应用A声明了一个自定义权限PERMISSION_PRIVATE并保护其某个组件。应用B也声明并使用这个权限。如果该权限的保护级别protectionLevel是normal或dangerous那么任何申请了此权限的应用都能访问该组件。Drozer可以模拟这种跨应用调用测试权限保护是否有效。3.3.2 Intent Injection与Deep Link测试通过run app.activity.start或run app.service.start发送Intent时可以精心构造--extra参数注入各种类型的数据string, int, boolean, bundle等测试目标组件对Intent数据的处理是否安全是否存在反序列化漏洞或逻辑缺陷。对于声明了Intent Filter特别是Deep Link的Activity可以模拟浏览器或其他应用发送特定格式的URI测试其处理逻辑是否存在漏洞比如导致WebView跨域问题、本地文件包含等。4. 高级技巧与模块开发入门当你熟悉了内置模块后可能会遇到一些特殊场景需要定制化的测试方法。这时了解Drozer模块的编写和扩展就非常有必要了。4.1 常用组合技与自动化思路Drozer Console支持基本的脚本化。你可以将一系列命令写入一个.dz文件然后使用dz script load /path/to/your_script.dz来批量执行。这对于重复性的测试任务非常有用。例如一个自动化信息收集脚本recon.dz可能包含# recon.dz deviceinfo run information.deviceinfo print(deviceinfo) packages run app.package.list print(packages) # 假设我们已知目标包名 target “com.example.vulnapp” surface run app.package.attacksurface -a %target print(surface) activity_info run app.activity.info -a %target print(activity_info)此外可以结合Python脚本通过Drozer的Python APIpydrozer来编程化地控制Drozer会话实现更复杂的自动化工作流比如自动遍历所有已安装应用对每个应用运行attacksurface并生成报告。4.2 编写自定义模块应对特定场景Drozer模块本质上是Python类。官方提供了完善的模块开发指南和模板。编写自定义模块主要涉及理解模块结构一个模块通常继承drozer.modules.Module类需要定义name,description,examples,author等元数据以及execute方法主逻辑。使用Drozer API在模块中你可以通过self访问很多有用的对象如self.stdout用于输出self.arg解析参数以及最重要的self.newIntent()来构造Intentself.contentResolver()来查询Content Provider。处理权限和上下文在模块代码中你可以检查Agent的权限 (self.hasContext())并尝试通过self.exploit()等方式进行权限提升。一个简单的自定义模块示例批量检查Content Provider是否可读假设我们想快速检查一批Content Provider URI的可读性可以编写如下模块保存为custom/provider_scanner.pyfrom drozer.modules import Module class ProviderScanner(Module): name “Scan for readable Content Providers” description “Takes a list of URIs and checks if they are queryable.” examples “”“run custom.provider_scanner -u content://uri1,content://uri2”“” author “Your Name” date “2024-05” license “BSD” path [“custom”] def add_arguments(self, parser): parser.add_argument(“-u”, “--uris”, help“Comma-separated list of Content Provider URIs to scan”) def execute(self, arguments): if not arguments.uris: self.stdout.write(“[-] Please provide URIs with -u option.\n”) return uri_list arguments.uris.split(“,”) for uri in uri_list: uri uri.strip() self.stdout.write(“[] Testing: {} ... “.format(uri)) try: # 尝试查询限制返回1行 cursor self.contentResolver().query(uri, projection[“1”], selection“1 LIMIT 1”) if cursor: self.stdout.write(“READABLE\n”) cursor.close() else: self.stdout.write(“NOT READABLE or ERROR\n”) except Exception as e: self.stdout.write(“ERROR ({})\n”.format(str(e)))将这个模块文件放到Drozer模块目录如~/.drozer/modules/custom/下在Console中执行reload命令就可以使用run custom.provider_scanner了。4.3 与动态分析工具联动Drozer擅长静态和交互式测试而动态分析如监控网络流量、函数调用跟踪需要其他工具。一个高效的组合是使用Drozer进行侦察和触发用Drozer启动目标Activity、发送特定广播或查询Provider触发应用的敏感代码路径。同时使用Frida或Xposed进行Hook在代码层面监控应用在被Drozer触发时的行为。例如用Frida Hook某个处理Intent的函数查看传入的参数和内部逻辑。使用Burp Suite或mitmproxy监控网络如果Drozer触发的操作导致了网络请求可以通过设置代理捕获这些请求分析其是否包含敏感信息或存在漏洞。这种联动能将“黑盒”测试Drozer和“灰盒”测试Frida结合起来极大地提高漏洞挖掘的深度和效率。5. 常见问题、排错与实战心得在实际使用Drozer的过程中你肯定会遇到各种问题。这里记录一些典型问题和处理经验。5.1 连接与运行类问题问题现象可能原因排查步骤与解决方案Unable to connect to agent...1. Agent未在设备上启动。2. ADB连接不稳定或未开启端口转发。3. 防火墙/网络策略阻止。1. 确认设备上Drozer Agent应用已打开并进入“嵌入式服务器”状态显示一个IP和端口。2. 执行adb devices确认设备在线。如果是USB连接执行adb forward tcp:31415 tcp:31415。3. 如果是Wi-Fi连接检查PC和设备是否在同一网络并尝试关闭防火墙临时测试。No session was created.Agent版本与Console版本不兼容。确保使用配套版本的Agent和Console。从官方仓库下载时注意版本号匹配。[Agent] Permission Denial...Agent权限不足无法执行某个操作。这是正常现象说明目标组件受到了系统权限保护。尝试寻找其他攻击面。如果评估需要可研究如何利用漏洞提升Agent权限使用exploit类模块需授权。模块执行无结果或卡住1. 模块逻辑有bug或与当前环境不兼容。2. 目标应用无响应或崩溃。3. 网络延迟。1. 使用CtrlC中断。检查模块帮助确认参数使用正确。2. 查看设备Logcat (adb logcat) 是否有目标应用崩溃的日志。3. 尝试执行一个简单模块如run information.deviceinfo测试连接稳定性。5.2 评估策略与思维误区误区一只关注“高危”漏洞。安全是一个链条。一个normal级别的权限滥用结合一个导出的Activity可能就能完成一次完整的数据窃取。Drozer的价值在于帮你系统地梳理整个攻击面不要只盯着SQL注入或远程代码执行。误区二忽略权限的上下文。run app.context显示的是Drozer Agent的权限不是目标应用的权限。目标应用的权限在app.package.info里。Agent调用一个需要权限P的组件系统检查的是Agent是否有权限P而不是目标应用是否有P。心得从Manifest.xml开始。在深入使用Drozer模块测试前先用app.package.manifest导出目标的AndroidManifest.xml用文本编辑器或分析工具仔细看一遍。对组件导出状态、权限声明、Intent Filter有一个全局了解能让你的Drozer测试更有方向性。心得结合静态分析。将Drozer的动态测试与反编译工具如JADX、Ghidra的静态分析结合。当Drozer发现一个可疑的导出组件时立刻去反编译的代码中查看该组件的具体实现逻辑寻找可利用的点比如硬编码密钥、逻辑缺陷等。关于模拟器与真机对于普通应用测试官方模拟器AVD足够。但涉及硬件特性如NFC、蓝牙或特定厂商驱动/漏洞时真机不可避免。真机测试务必在授权和隔离的网络环境中进行。Drozer不是一个“傻瓜式”扫描器它更像一个强大的交互式探索平台。它的价值不在于自动给你一个漏洞列表而在于赋予你深入Android系统内部以攻击者视角进行主动探索的能力。熟练掌握其模块化思想不仅能提升Android安全评估的效率更能深刻理解Android安全机制的设计与潜在弱点。当你能够根据评估目标灵活组合甚至编写Drozer模块时你就真正站在了Android安全评估的前沿阵地上。
Drozer模块深度解析:Android安全评估的核心技术与实战应用
发布时间:2026/6/29 6:54:11
1. 项目概述为什么Drozer依然是Android安全评估的“瑞士军刀”在移动安全领域Android因其开放性和庞大的市场份额始终是安全研究人员和渗透测试人员的核心战场。面对一个复杂的Android应用或系统如何快速、深入地评估其安全状况发现潜在的漏洞和风险点很多新手可能会想到反编译、动态调试或者使用一些自动化扫描工具。但真正深入到应用间通信、权限滥用、组件暴露等核心安全问题层面时一款名为Drozer的工具依然是许多资深从业者工具箱里的首选。它不像一些图形化工具那样“一键出报告”而是提供了一个强大的交互式命令行环境让你能够像与系统“对话”一样主动探测、查询和攻击目标应用。这次我们不谈泛泛的安装和使用而是聚焦于Drozer的灵魂——模块。理解并熟练运用模块你才能真正解锁Drozer的全部威力从被动的工具使用者转变为主动的安全探索者。简单来说Drozer模块就是一系列预定义好的“攻击脚本”或“探测指令”。Drozer框架本身提供了一个执行环境Agent安装在目标设备Console运行在测试机而模块则填充了具体的功能。你可以把Drozer Console看作一个命令行解释器而每一个模块就是一条功能强大的命令。这些模块覆盖了信息收集、权限提升、应用间攻击Intent攻击、数据泄露、SQL注入等方方面面。对于安全评估人员而言掌握模块就相当于掌握了一套针对Android安全的“组合拳法”能够系统性地对应用进行体检。无论是想了解一个应用暴露了哪些组件还是想测试它是否容易受到权限绕过攻击亦或是想挖掘其私有文件中的数据都有对应的模块可以调用。接下来我们将深入拆解Drozer模块的体系、核心模块的应用以及如何将其融入实际的评估流程中。2. Drozer模块体系深度解析从分类到运行机制要玩转Drozer模块首先得理解它的组织架构和运行原理。这能帮助你在面对数百个模块时快速找到所需并理解其输出结果的含义。2.1 模块的分类与定位Drozer的模块库非常丰富通常按功能领域进行分类。在Drozer Console中使用list命令可以查看所有可用模块。更常见的做法是按类别查看例如list app会列出所有与应用相关的模块。主要的模块类别包括app这是最常用的一类专注于单个应用的安全评估。包括分析应用权限、暴露的Activity、Service、Content Provider、Broadcast Receiver以及测试这些组件的安全性。auxiliary辅助性模块提供一些通用功能如创建用于测试的脆弱应用、执行一些系统级命令需权限、进行网络扫描等。可以理解为“工具箱”。exploit漏洞利用模块。这类模块通常针对已知的特定漏洞CVE编号尝试在目标设备上获取更高权限如root。使用这类模块需要格外谨慎并确保在授权范围内测试。information信息收集模块。用于收集设备本身的信息如系统版本、已安装应用列表、设备ID、网络配置等。这是评估开始的基础步骤。shell提供各种shell交互和命令执行的模块。在获取了一定权限后可以通过这些模块在设备上执行命令上传下载文件等。tools工具类模块提供一些编解码、哈希计算等实用功能。理解这个分类能让你在评估的不同阶段快速定位工具。例如初期用information模块摸清环境然后用app模块对目标应用进行深度剖析发现可疑点后再用exploit或shell模块尝试深入。2.2 模块的运行机制与Agent的角色这是理解Drozer工作的关键。Drozer采用客户端-服务器架构但这里的“服务器”是安装在目标Android设备或模拟器上的一个轻量级Agent应用。Agent它是一个普通的APK文件drozer-agent.apk安装到目标设备上。启动后它会开启一个服务等待来自Drozer Console的连接。Agent的本质是一个“命令执行中介”。它接收来自Console的指令即模块执行请求在设备本地调用相应的Android API来执行这些指令然后将结果返回给Console。所有对目标应用的探测操作实际上都是由Agent以其自身的权限或通过与目标应用交互在设备本地完成的。这意味着Agent的权限会影响测试的深度。例如如果Agent安装在一个非root的普通用户空间它将无法访问其他应用受保护的私有数据。Console运行在你的测试机通常是PC支持Windows、Linux、macOS上的Python程序。它通过ADBAndroid Debug Bridge与设备建立转发连接或者通过Wi-Fi网络直接连接到Agent。Console提供交互式界面你在这里输入模块命令Console将其打包发送给Agent并接收和显示Agent返回的结果。一个典型的模块执行流程 你在Console输入run app.package.list。Console将这个请求通过连接发送给设备上的Agent。Agent接收到指令后在设备内部调用PackageManager.getInstalledPackages()等API获取应用列表。Agent将获取到的列表数据整理后发回给Console。Console最终将结果以格式化的表格或列表形式展示给你看。注意很多新手会混淆ADB和Drozer的权限。ADB用于建立连接和端口转发初始的adb shell权限可能是shell用户或root取决于设备是否已root并开启了adb root。但Drozer Agent运行在Android应用沙箱内其权限是独立的默认只有普通应用权限。获取更高权限如利用漏洞提权是Drozer评估的一部分目标而非前提。2.3 模块的查找、帮助与参数设置面对一个陌生的模块如何快速上手查找模块除了list还可以用search命令。例如你想找所有和“content provider”相关的模块可以运行search provider。查看模块帮助这是最重要的步骤。在运行任何模块前务必先使用run module.name --help查看其详细说明、参数和示例。例如run app.package.info --help。帮助信息会告诉你这个模块是干什么的需要哪些参数哪些是必选的-a哪些是可选的-o以及简单的使用例子。设置模块参数模块参数通过-a(argument) 来指定。例如run app.package.info -a com.example.vulnapp就是获取包名为com.example.vulnapp的应用的详细信息。对于可选参数使用-o(option)。多个参数用空格分隔。理解模块体系后我们就可以进入实战看看如何用这些模块像手术刀一样解剖一个Android应用。3. 核心安全评估模块实战应用详解我们以一个假设的脆弱应用com.example.vulnapp为目标模拟一次精简的渗透测试流程展示核心模块的实际应用。3.1 信息收集阶段绘制目标画像在发起任何“攻击”前充分的侦察是必不可少的。3.1.1 枚举设备与应用基础信息run information.deviceinfo这个命令会输出设备型号、Android版本、SDK级别、屏幕分辨率等。Android版本和SDK级别至关重要因为它们决定了可用的API和已知的漏洞范围。run app.package.list列出设备上所有安装的包。输出通常很长我们可以结合grep来过滤。在Drozer Console中可以使用-f参数进行过滤run app.package.list -f vuln来查找包名中包含“vuln”的应用从而定位我们的目标。3.1.2 深度剖析目标应用找到目标包名后进行深度分析run app.package.info -a com.example.vulnapp这个模块会返回应用的详细信息包括UID/GID应用在系统中的用户/组ID用于权限判断。共享用户ID如果设置了意味着它与其他应用共享Linux用户可能拥有更多权限。安装路径、数据路径APK和私有数据存储的位置。权限列表这是重中之重。它会列出应用声明的所有权限uses-permission。你需要仔细审查这些权限判断其是否过度申请。例如一个记事本应用申请了READ_SMS和ACCESS_FINE_LOCATION权限就非常可疑。run app.package.attacksurface com.example.vulnapp这是Drozer最具价值的模块之一。它分析目标应用暴露在外的“攻击面”即有多少组件Activity, Service, Content Provider, Broadcast Receiver是导出的exportedtrue。导出的组件可以被设备上的其他应用包括我们的Drozer Agent调用是潜在的安全风险入口。该模块会给出一个清晰的统计和列表。3.2 组件安全测试寻找入口点根据attacksurface的结果我们可以对导出的组件进行深入测试。3.2.1 Activity劫持与越权访问run app.activity.info -a com.example.vulnapp列出目标应用的所有Activity并标记哪些是导出的。对于导出的Activity我们可以尝试启动它。run app.activity.start --component com.example.vulnapp com.example.vulnapp.ExportActivity如果这个Activity不需要任何额外的Intent数据或权限就能打开并且它本身包含敏感功能如修改密码、查看内部数据那么就存在越权访问漏洞。更高级的测试是尝试向Activity传递恶意Intent数据触发其异常行为比如崩溃或逻辑错误。3.2.2 Content Provider数据泄露Content Provider是Android应用间共享数据的主要机制也是最容易出问题的地方之一。run app.provider.info -a com.example.vulnapp列出应用的所有Content Provider及其权限。重点关注uri和读写权限。run app.provider.query content://com.example.vulnapp.provider/userdata尝试查询一个Content Provider。如果成功返回数据说明该Provider至少是可读的且可能未做充分的权限校验。Drozer甚至可以尝试进行SQL注入run app.provider.query content://com.example.vulnapp.provider/userdata --projection “* FROM sqlite_master WHERE type’table’;--”如果Provider底层使用SQLite且对查询参数未做过滤此类注入可能泄露数据库结构甚至所有数据。run app.provider.download content://com.example.vulnapp.provider/files/../config.xml /data/local/tmp/config.xml利用路径遍历漏洞如果存在尝试下载应用私有目录下的文件。3.2.3 广播接收器与权限绕过run app.broadcast.info -a com.example.vulnapp列出Broadcast Receiver。测试导出的Receiver是否可以接收恶意广播。run app.broadcast.send --action com.example.vulnapp.ACTION_UPDATE --extra string data “malicious_payload”发送一个广播观察应用行为。有些应用通过广播传递敏感指令如果接收器未校验发送方权限或数据可能导致权限绕过。3.2.4 Service测试run app.service.info -a com.example.vulnapp列出Service。对于导出的Service可以尝试绑定并与之交互。run app.service.start --component com.example.vulnapp com.example.vulnapp.ExportService run app.service.send --component com.example.vulnapp com.example.vulnapp.ExportService --msg 1234 1 2 --extra string cmd “delete_all”某些Service可能包含远程执行命令或处理敏感请求的功能不当的调用可能导致拒绝服务或数据损坏。3.3 权限与意图攻击进阶3.3.1 权限滥用与提升Drozer可以帮助我们理解权限上下文。run app.context命令可以列出Agent当前运行环境的上下文信息包括拥有的权限。通过run app.package.manifest package可以查看应用的完整AndroidManifest.xml分析权限声明、组件定义和Intent Filter。一个经典的测试场景是应用A声明了一个自定义权限PERMISSION_PRIVATE并保护其某个组件。应用B也声明并使用这个权限。如果该权限的保护级别protectionLevel是normal或dangerous那么任何申请了此权限的应用都能访问该组件。Drozer可以模拟这种跨应用调用测试权限保护是否有效。3.3.2 Intent Injection与Deep Link测试通过run app.activity.start或run app.service.start发送Intent时可以精心构造--extra参数注入各种类型的数据string, int, boolean, bundle等测试目标组件对Intent数据的处理是否安全是否存在反序列化漏洞或逻辑缺陷。对于声明了Intent Filter特别是Deep Link的Activity可以模拟浏览器或其他应用发送特定格式的URI测试其处理逻辑是否存在漏洞比如导致WebView跨域问题、本地文件包含等。4. 高级技巧与模块开发入门当你熟悉了内置模块后可能会遇到一些特殊场景需要定制化的测试方法。这时了解Drozer模块的编写和扩展就非常有必要了。4.1 常用组合技与自动化思路Drozer Console支持基本的脚本化。你可以将一系列命令写入一个.dz文件然后使用dz script load /path/to/your_script.dz来批量执行。这对于重复性的测试任务非常有用。例如一个自动化信息收集脚本recon.dz可能包含# recon.dz deviceinfo run information.deviceinfo print(deviceinfo) packages run app.package.list print(packages) # 假设我们已知目标包名 target “com.example.vulnapp” surface run app.package.attacksurface -a %target print(surface) activity_info run app.activity.info -a %target print(activity_info)此外可以结合Python脚本通过Drozer的Python APIpydrozer来编程化地控制Drozer会话实现更复杂的自动化工作流比如自动遍历所有已安装应用对每个应用运行attacksurface并生成报告。4.2 编写自定义模块应对特定场景Drozer模块本质上是Python类。官方提供了完善的模块开发指南和模板。编写自定义模块主要涉及理解模块结构一个模块通常继承drozer.modules.Module类需要定义name,description,examples,author等元数据以及execute方法主逻辑。使用Drozer API在模块中你可以通过self访问很多有用的对象如self.stdout用于输出self.arg解析参数以及最重要的self.newIntent()来构造Intentself.contentResolver()来查询Content Provider。处理权限和上下文在模块代码中你可以检查Agent的权限 (self.hasContext())并尝试通过self.exploit()等方式进行权限提升。一个简单的自定义模块示例批量检查Content Provider是否可读假设我们想快速检查一批Content Provider URI的可读性可以编写如下模块保存为custom/provider_scanner.pyfrom drozer.modules import Module class ProviderScanner(Module): name “Scan for readable Content Providers” description “Takes a list of URIs and checks if they are queryable.” examples “”“run custom.provider_scanner -u content://uri1,content://uri2”“” author “Your Name” date “2024-05” license “BSD” path [“custom”] def add_arguments(self, parser): parser.add_argument(“-u”, “--uris”, help“Comma-separated list of Content Provider URIs to scan”) def execute(self, arguments): if not arguments.uris: self.stdout.write(“[-] Please provide URIs with -u option.\n”) return uri_list arguments.uris.split(“,”) for uri in uri_list: uri uri.strip() self.stdout.write(“[] Testing: {} ... “.format(uri)) try: # 尝试查询限制返回1行 cursor self.contentResolver().query(uri, projection[“1”], selection“1 LIMIT 1”) if cursor: self.stdout.write(“READABLE\n”) cursor.close() else: self.stdout.write(“NOT READABLE or ERROR\n”) except Exception as e: self.stdout.write(“ERROR ({})\n”.format(str(e)))将这个模块文件放到Drozer模块目录如~/.drozer/modules/custom/下在Console中执行reload命令就可以使用run custom.provider_scanner了。4.3 与动态分析工具联动Drozer擅长静态和交互式测试而动态分析如监控网络流量、函数调用跟踪需要其他工具。一个高效的组合是使用Drozer进行侦察和触发用Drozer启动目标Activity、发送特定广播或查询Provider触发应用的敏感代码路径。同时使用Frida或Xposed进行Hook在代码层面监控应用在被Drozer触发时的行为。例如用Frida Hook某个处理Intent的函数查看传入的参数和内部逻辑。使用Burp Suite或mitmproxy监控网络如果Drozer触发的操作导致了网络请求可以通过设置代理捕获这些请求分析其是否包含敏感信息或存在漏洞。这种联动能将“黑盒”测试Drozer和“灰盒”测试Frida结合起来极大地提高漏洞挖掘的深度和效率。5. 常见问题、排错与实战心得在实际使用Drozer的过程中你肯定会遇到各种问题。这里记录一些典型问题和处理经验。5.1 连接与运行类问题问题现象可能原因排查步骤与解决方案Unable to connect to agent...1. Agent未在设备上启动。2. ADB连接不稳定或未开启端口转发。3. 防火墙/网络策略阻止。1. 确认设备上Drozer Agent应用已打开并进入“嵌入式服务器”状态显示一个IP和端口。2. 执行adb devices确认设备在线。如果是USB连接执行adb forward tcp:31415 tcp:31415。3. 如果是Wi-Fi连接检查PC和设备是否在同一网络并尝试关闭防火墙临时测试。No session was created.Agent版本与Console版本不兼容。确保使用配套版本的Agent和Console。从官方仓库下载时注意版本号匹配。[Agent] Permission Denial...Agent权限不足无法执行某个操作。这是正常现象说明目标组件受到了系统权限保护。尝试寻找其他攻击面。如果评估需要可研究如何利用漏洞提升Agent权限使用exploit类模块需授权。模块执行无结果或卡住1. 模块逻辑有bug或与当前环境不兼容。2. 目标应用无响应或崩溃。3. 网络延迟。1. 使用CtrlC中断。检查模块帮助确认参数使用正确。2. 查看设备Logcat (adb logcat) 是否有目标应用崩溃的日志。3. 尝试执行一个简单模块如run information.deviceinfo测试连接稳定性。5.2 评估策略与思维误区误区一只关注“高危”漏洞。安全是一个链条。一个normal级别的权限滥用结合一个导出的Activity可能就能完成一次完整的数据窃取。Drozer的价值在于帮你系统地梳理整个攻击面不要只盯着SQL注入或远程代码执行。误区二忽略权限的上下文。run app.context显示的是Drozer Agent的权限不是目标应用的权限。目标应用的权限在app.package.info里。Agent调用一个需要权限P的组件系统检查的是Agent是否有权限P而不是目标应用是否有P。心得从Manifest.xml开始。在深入使用Drozer模块测试前先用app.package.manifest导出目标的AndroidManifest.xml用文本编辑器或分析工具仔细看一遍。对组件导出状态、权限声明、Intent Filter有一个全局了解能让你的Drozer测试更有方向性。心得结合静态分析。将Drozer的动态测试与反编译工具如JADX、Ghidra的静态分析结合。当Drozer发现一个可疑的导出组件时立刻去反编译的代码中查看该组件的具体实现逻辑寻找可利用的点比如硬编码密钥、逻辑缺陷等。关于模拟器与真机对于普通应用测试官方模拟器AVD足够。但涉及硬件特性如NFC、蓝牙或特定厂商驱动/漏洞时真机不可避免。真机测试务必在授权和隔离的网络环境中进行。Drozer不是一个“傻瓜式”扫描器它更像一个强大的交互式探索平台。它的价值不在于自动给你一个漏洞列表而在于赋予你深入Android系统内部以攻击者视角进行主动探索的能力。熟练掌握其模块化思想不仅能提升Android安全评估的效率更能深刻理解Android安全机制的设计与潜在弱点。当你能够根据评估目标灵活组合甚至编写Drozer模块时你就真正站在了Android安全评估的前沿阵地上。
![[ 实战篇 ] 手把手教你激活谷歌HackBar (附疑难排查)](http://pic.xiahunao.cn/yaotu/[ 实战篇 ] 手把手教你激活谷歌HackBar (附疑难排查))
实现100%通过率](http://pic.xiahunao.cn/yaotu/华为OD机试2025C卷-字符串变换最小次数[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率)
实现100%通过率](http://pic.xiahunao.cn/yaotu/华为OD机试2025C卷-内存资源分配[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率)
