drozer使用

Posted xiaoqiyue

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了drozer使用相关的知识,希望对你有一定的参考价值。

 1.使用list命令查看模块:

技术分享图片

2.使用run 模块 -h  查看该模块参数命令

技术分享图片

3.查看安装应用:使用app.package.list模块

run app.package.list

技术分享图片

也可以指定应用,查看其包名

run app.package.list -f Sieve

技术分享图片

 

4.查看特定应用详细信息:使用app.package.info模块

 run app.package.info -a com.android.wallpapercropper

技术分享图片

5.识别攻击面(攻击面:安卓的四大组件:activity,broadcast receiver,content provider,service):使用app.package.attacksurface模块

run app.package.attacksurface com.android.wallpapercropper

技术分享图片

6.查看activity组件信息:使用app.activity.info模块

run app.activity.info -a com.android.wallpapercropper

技术分享图片

7.查看broadcast组件信息:使用app.broadcast.info模块

 run app.broadcast.info -a com.android.providers.telephony

技术分享图片

8.查看content provider组件信息:使用app.provider.info模块

run app.broadcast.info -a com.android.providers.telephony

技术分享图片

9.查看service组件信息:使用app.service.info模块

run app.service.info -a com.android.providers.telephony

技术分享图片

 

 drozer具体使用示例:

安装该应用

技术分享图片

使用drozer检查该应用:

查看包名

技术分享图片

查看应用详细信息

技术分享图片

查看应用攻击面

技术分享图片

查看可利用的activity组件信息

技术分享图片

如下图可以看到无法进入登录界面,利用上图中的activity组件,导出密码列表,命令如下:

run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList

技术分享图片

技术分享图片

检测sql注入:

检测存在的注入点

 技术分享图片

测试是否存在注入,如下图,可知存在sql注入

技术分享图片

查看表名:

技术分享图片

 

以上是关于drozer使用的主要内容,如果未能解决你的问题,请参考以下文章

Drozer使用简介

drozer工具使用

drozer工具的安装与使用:之二使用篇

APP测试-drozer安装和使用

Drozer自定义模块以及安装使用

Drozer自定义模块以及安装使用