安卓安全新手村攻略

最近要测一些app,除了直接测web端也有覆盖移动端常见的漏洞,学学常见的安卓漏洞和drozer的用法。
不懂安卓开发,所以只总结些不涉及代码的漏洞。
把apk改成zip解压,查看配置文件。查看AndroidManifest.xml,了解apk结构。

1
2
3
4
5
6
查看permission信息,比如读写权限、网络权限等等。
cat AndroidManifest.xml | grep permission
查看是否允许debug
cat AndroidManifest.xml | grep debug
查看暴露的服务
cat AndroidManifest.xml | grep exported

查看assets和res/raw/中是否有敏感信息。
然后连接手机开始调试,手机打开调试模式。安装adb和drozer,教程很多。

1
2
3
4
5
6
7
8
9
连接drozer
adb forward tcp:31415 tcp:31415
drozer.bat console connect
获取所有app名称
adb
adb shell pm list packages -f name
drozer
run app.package.list -f appname
run app.package.list -a packagename

简单的信息泄露漏洞:通过adb logcat查看本地记录,是否有明文银行卡身份证号等被记录。
安卓应用有四大组件:content providers、activities、broadcast providers、sservices。
activities可能有绕过的风险,比如登录界面被绕过。通过drozer测试:
run app.package.attacksurface target列出所有攻击面。
查看activity信息 run app.activity.info -a target
权限是null的话尝试直接调用activitiy,也许有未授权访问
run app.activity.start –component 应用全称 Activity名称
直接调用对应的activity。
还可能存在拒绝服务漏洞
adb shell am start -n target/activity
app退出运行即存在漏洞
测试sql注入
run app.provider.finduri target
run app.provider.query uri
run scanner.provider.injection -a target

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家