2. 程式人生 > 實用技巧 >滲透測試工具Drozer安裝使用

滲透測試工具Drozer安裝使用

阿新 發佈:2020-09-14

移動端滲透測試工具相比豐富的web端真的是少之又少,最近在做app的安全測試,用到了drozer,drozer的安裝過程真的是太心酸了,中間報錯了有6次才成功安裝。。

一.環境準備

首先準備以下環境:

二.建立連線

  1.首先用adb建立和你的手機或安卓模擬器的連線,adb具體使用方法見:https://jingyan.baidu.com/article/ce4366494962083773afd3d0.html
  然後使用adb將adb agent安裝到手機 agent下載連結https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk

  

  

  adb連線實現後,在手機端開啟agent,將其開啟

三.配置pyhon2環境變數和安裝各種支援的庫 ,開啟dozer

  這時你下載的dozer應該在python27\Scripts目錄下

開啟cmd控制到 切到python27,目錄下,先為python2 配置臨時環境變數(因為我本身有python3的環境變數,所以便只配置臨時的)

1 setpath=C:\Python27;C\Python27\Scripts;%path%

隨後在 dozer.bat 所在目錄,使用命令dozer.batconsole connect 開啟dozer控制檯

四.排錯(如果直接能啟動無需看這一步)
  

我這裡開啟後報錯報錯1:ImportError: No module named google.protobuf

這裡執行 pip install protobuf

然後又報錯 2.You are using pip version 19.1, however version 19.2 is available.You should consider upgrading via the ‘python -m pip install –upgrade pip’ command.

 這裡時pip版本低

然後執行: python -m pip install –upgrade pip 再次報錯。。隨後在csdn上找到了解決辦法,在管理員控制檯執行該命令,實現pip的升級

隨後再次執行 pip install protobuf 就能成功了

報錯3,還需要這兩個庫,都裝上

  pip install pyopenssl

  pip install pyyaml

  再執行 drozer.bat console connect

  還沒有結束,報錯4,還需要 Twisted的依賴,那麼再把Twisted庫裝上

  pip install Twisted

  然後執行失敗一頁紅

  

  

  報錯5,這裡還需要C++環境,安裝一個Micorsoft Visual C++ Compiler for Python 2.7環境 連結:https://www.microsoft.com/en-us/download/confirmation.aspx?id=44266

  安裝後再安裝twisted庫就可以了

  

  然後於愉快的開啟dozer,發現還有錯誤??

  

  

  這裡還需要要用adb埠轉發一下 adb forward tcp:31415 tcp:31415 (31415為dozer佔用的埠號)

  終於能打開了

  

五. drozer使用

  可以用help ,list 檢視使用方法和功能    

  我這裡用到了drozer的幾個功能簡單測了下app

  1.檢測四大元件安全 :

            run app.activity.info -a <包名>

            run app.broadcast.info -a <包名>

            run app.service.info -a <包名>

            run app.provider.info -a <包名>

  2.檢測URI資料洩露風險:

  Drozer的scanner模組提供了一些方法去猜測可能存在的content URIs.

         run scanner.provider.finduris -a <包名>

  3.檢測檔案遍歷漏洞:

   Drozer的Scanner模組提供了一些方法去檢測本地Content Provider資料是否有檔案遍歷漏洞風險的介面.

            run scanner.provider.traversal -a <包名>

  4.檢測是否存在本地sql注入:

   Drozer的Scanner模組提供了一些方法去檢測本地儲存的SQLite資料是否有SQL注入的風險.

            run scanner.provider.injection -a <包名>

轉載至:https://www.cnblogs.com/zhaoyixiang/p/11236458.html

            

相關推薦

滲透測試工具Drozer安裝使用

移動端滲透測試工具相比豐富的web端真的是少之又少,最近在做app的安全測試,用到了drozerdrozer安裝過程真的是太心酸了,中間報錯了有6次才成功安裝。。

滲透測試工具Drozer安裝使用(Mac)

簡介 drozer的基本功能就是通過分析AndroidManifest.xml,看四大元件中有沒有可export的

Redis事務 壓力測試工具安裝 ab工具

第一個第二個第三個 也就是順序安裝上 apr-1.4.8-3.el7.x86_64.rpm apr-util-1.5.2-6.el7.x86_64.rpm httpd-tools-2.4.6-67.el7.centos.x86_64.rpm 這三個檔案

JMeter——併發測試工具安裝及使用

關注微信公眾號:CodingTechWork,一起學習進步。 引言   在程式設計師開發完程式碼後,我們需要先自測,對於restful風格的程式碼,我們常常需要呼叫介面api進行測試,一般我們會在瀏覽器上直接呼叫介面請求或者使

滲透測試工具--Nessue漏洞掃描與分析軟體

滲透測試工具–Nessue漏洞掃描與分析軟體 一、簡介&特色: Nessus 是目前全世界最多人使用的系統漏洞掃描與分析軟體。總共有超過75,000個機構使用Nessus 作為掃描該機構電腦系統的軟體。 提供完整的電

Linux:linux伺服器穩定性壓力測試工具stress安裝與使用

stress是一個linux下的壓力測試工具,專門為那些想要測試自己的系統,完全高負荷和監督這些裝置執行的使用者。

網站滲透測試工具zap2docker-stable

前言:   滲透測試及防護也是web安全中重要的一環,即使不能及時的對網站進行防護,有了掃描報告也可以應對檢查並對問題有了解,zap2docker-stable是用於滲透測試的不錯工具,能夠生產對網站進行滲透測試並生成報告

Python效能測試工具Locust安裝及使用

介紹 An open source load testing tool. 一個開源效能測試工具。 define user behaviour with python code,and swarm your system with millions of simultaneous users.

Linux效能測試工具-UnixBench--安裝以及結果分析【轉】

轉自:https://blog.csdn.net/gatieme/article/details/50912910 UnixBench unixbench是一個用於測試unix系統性能的工具,也是一個比較通用的benchmark, 此測試的目的是對類Unix系統提供一個基本的效能指示,很多測

滲透測試工具導航

入門指南 Web Hacking 101 中文版:https://wizardforcel.gitbooks.io/web-hacking-101/content/ 淺入淺出Android安全 中文版:https://wizardforcel.gitbooks.io/asani/content/

滲透測試工具:主動資訊收集Nmap

技術標籤:滲透測試資訊保安 文章目錄 一、目標說明:(一)、網段掃描: 二、主機發現下列選項控制主機發現。

使用C#winform編寫滲透測試工具--埠掃描

主要介紹使用C#winform編寫滲透測試工具--埠掃描器,埠掃描器則是一種檢測伺服器或者主機虛擬埠是開啟或關閉的工具。由於連線到區域網或網際網路的計算機執行著不同服務,埠的存在允許同一臺計算機上的不同應用程式

使用C#winform編寫滲透測試工具--旁站查詢

本篇文章主要介紹使用C#winform編寫滲透測試工具--旁站查詢。旁站是指和目標站在同一伺服器的其他網站,換句話說,旁站的ip是相同的,當目標站無法滲透時,可以考慮從旁站滲透,增大滲透的可能性。通過python編寫指

使用C#winform編寫滲透測試工具--SQL注入

本篇文章主要介紹使用C#winform編寫滲透測試工具,實現SQL注入的功能。使用python編寫SQL注入指令碼,基於get顯錯注入的方式進行資料庫的識別、獲取表名、獲取欄位名,最終獲取使用者名稱和密碼;使用C#winform編寫

ApacheJMeter壓力測試工具使用安裝教程

目錄JMeter的使用安裝及設定下載啟動切換語言環境簡單使用1.新建執行緒組2.執行緒組配置3.新建HTTP請求4.配置HTTP請求5.配置監聽器6.執行JMeter的使用

15.滲透測試工具程式設計

ICMP scapy基本操作 前期準備 在Linux中使用pycharm進行接下來的操作,以便幫我們實現網路底層功能

Windows滲透測試工具:RedSnarf

RedSnarf是一款由Ed William 和 Richard Davy開發的,專門用於滲透測試及紅隊的安全工具。RedSnarf通過OpSec技術,從Windows工作站,伺服器和域控制器中檢索雜湊和憑據。

OpenStack:建立虛擬的滲透測試實驗環境 – 安裝

0x00 概述 對從業滲透測試的人員來說,保持技能更新是非常重要的,而更新技能的過程中,需要大量的去學習、實踐和總結,比較傳統的學習方式是通過虛擬機器安裝靶機來練習,這種方式往往缺少一種真實滲透中的網路環境

二、SQLMap 滲透測試工具

資料庫注入一般情況下采用兩種方式 :SQLMap 工具注入 和 手工注入 ,SQLMap 核心 :獲取資料庫裡的資料

資料庫效能測試之sysbench工具安裝與用法詳解

1.簡介和安裝 sysbench是一個開源的、模組化的、跨平臺的多執行緒效能測試工具,可以用來進行CPU、記憶體、磁碟I/O、執行緒、資料庫的效能測試。目前支援的資料庫有MySQL、Oracle和PostgreSQL。