Drozer – Android APP安全评估工具(附测试案例)

2014-02-21 1445212人围观 ,发现 17 个不明物体 工具终端安全

Drozer原名mercury,是一款不错的Android APP安全评估工具。现在有社区版/专业版两个版本。

具体的使用说明可以参考https://www.mwrinfosecurity.com/system/assets/559/original/mwri_drozer-users-guide_2013-09-11.pdf 

测试案例

某Android APP由于Content Provider的控制不严,导致可读写APP私有的数据库,具体的步骤和思路:

1、查找APP完整的包名字(某些命令只能输入完整的包名才能执行):

dz>
run app.package.list -f
younicom.snda.youni

 

2、列举出APP的详细信息

run app.package.info -a  com.snda.youni

1

3、APP攻击面分析,分析Activity/Broadcast Receiver/Content Provider/Service是否能被其他的的应用程序调用

run app.package.attacksurface com.snda.youni

2

4、列举Content Provider的信息(可以看到Read/Write的Permission都是null)

run app.provider.info -a com.snda.youni

 (第一次测试的APP版本可以修改数据库) 

3

(修复之后再查看)

4

5、有暴露的Provider,可以用drozer扫描可用的URI(drozer是否是通过源码静态扫描的方式发现这些URI?通过反编译dex->jar->class可以查找到这些URI)

run app.provider.finduri com.snda.youni

5

6、通过分析源代码可知DataStructs对应的是本地数据库,URI的结构:

content://包名.数据库/表名

(URI不一定指向数据库,也可能是xml文件)

可以先在PC上用sqlite broswer分析.db文件,例如contacts表中有一个phone_number字段;有了这些信息搜集,就可以利用drozer命令+参数查看数据库内容。可以看到该APP默认的几条内容:

6

7、preferences表存储的是当前用户的一些基本信息,查询当前手机号: 

7

8、可以利用drozer直接修改数据库 

8

9、漏洞利用。结合该APP的一个功能:通过手机号转账给他人。假设Max安卓手机里装了该APP,Coco也申请了这个APP的账号并且在Max的联系
人名单中,ID就是Coco的手机号,APP显示给Max是昵称。Max的手机不小心中了木马,木马通过上述漏洞修改了APP私有数据库
(Contacts表)中Coco的手机号,改为攻击者的手机号。Max通过APP的转账功能给Coco转账,就转到攻击者的账户中。实际测试通过。

10、以上漏洞利用只是一个攻击思路,Content Provider的暴露应该可以带来更大的危害。 

11、Content Provider也可能造成本地SQL注入漏洞,通过在参数中提交特殊字符,触发数据库引擎的报错: 

1010

[via maxwithcoco]

这些评论亮了

  • maxcoco (5级) 回复
    作者不厚道啊,把我博客文章发上来也不注明出处。还testtest。
    )72( 亮了
  • maxcoco (5级) 回复
    @maxcoco  楼主不厚道啊,把我博客文章发上来也不注明出处。还testtest。
    )27( 亮了
  • gscld (1级) 回复
    怎么测试app漏洞?求大牛详细说说
    )6( 亮了
  • Drizzle.Risk (3级) 18年校招开始了~ 北京甲方互联网~安全工程师~一起来搞好玩... 回复
    有一点不明白,既然因为权限分配不合理已经得到了本地数据库的读写权限,构造本地SQL注入还有什么用途?望解答。
    )6( 亮了
发表评论

已有 17 条评论

取消
Loading...
css.php