Drozer 是领先的Android 安全测试框架,可以发现Android 应用程序暴露的攻击面并与之交互,尽可能发现点对点的Android 漏洞,识别组织中易受攻击的设备,并进行远程攻击。 Drozer 既可以在Android 模拟器上运行,也可以在实际设备上运行。您可以从官方网站免费下载该工具。
官方网站:https://labs.f-secure.com/tools/drozer/
2.环境及工具安装
操作系统:Windows 10 专业版
JAVA环境:jdk1.8.0_241
Python环境:Python 2.7.17
1、JAVA是Android开发的主要语言,与手机交互时使用。至于如何配置环境变量,这里就省略n个字了。
2、由于Drozer是Python2.7编写的,所以只能在Python2.7环境下运行,并且是一个环境变量。这里省略了n个词。 (这里有一个坑,为了方便区分python版本,我们通常会安装两个版本的python,并重命名为python2和python3。但是连接手机时,执行drozer时没有任何反应,改成python2时回到python,正常启动,我不知道为什么)。
3、adb,Android调试桥,是PC上与Android设备交互的命令行窗口工具。从官网下载安装包和Android通用驱动,一键安装,并配置环境变量。
官方网站:https://adbshell.com/downloads
路径环境变量:C:\Windows\SysWOW64
安装好后,在命令行测试一下,如图,就是这样:
4. 德罗泽安装
首先从官网下载电脑drozer和手机安装包
官方网站:https://labs.f-secure.com/tools/drozer/
打开msi文件直接安装。在安装过程中,会遇到设置运行环境的问题。因为检测到的环境是python3,所以需要手动指定python 2.7环境,点击下一步即可。
5. Drozer-agent安装
有两种方法:直接安装在手机或者模拟器上。 b. adb安装,这里介绍adb安装。 (下面会讲到Android客户端的连接方法)
使用cmd进入Drozer-agent apk安装包所在目录(至于为什么要用cmd,我后面会详细解释),执行安装命令。
adb 安装drozer-agent-2.3.4.apk
安装过程中,手机会弹出查看是否允许。只需点击继续安装(取决于手机品牌)。如图所示,就OK了。
3、连接调试
我们已经安装了工具和所需的环境。接下来我们开始连接调试设备,进入实战阶段。
1.连接真实手机
首先确保手机的开发者模式正常开启USB调试,并安装之前下载的Android驱动。 (如果无法连接,安装360手机助手即可一键解决,使用adb连接前请先卸载360手机助手,并重启电脑,否则会占用端口无法连接)
检查连接是否成功。这说明adb连接成功:
adb devices 检查是否与设备建立连接adb shell 登录设备
接下来,使用Drozer 连接您的手机
在开始之前,先说一下为什么需要使用cmd来连接?经历过很多坑,也习惯使用Powershell,但是后面powershell连接终端时,会产生乱码,而且无法更改。
cmd的默认编码是简体中文GBK 936,连接终端时会出现乱码,无法连接,所以在开始之前,我们暂时将cmd:的编码改为UTF-8 65001。
chcp 65001 编码更改为UTF-8
命令行输入:chcp 65001
手机上打开drozer并启动服务
从命令行进入python27的scripts文件夹并开始连接。 drozer Server默认监听端口为31415,也需要与主机上的31415端口进行通信。
drozer 控制台连接--start drozer
当出现如上画面时,就代表成功了,可以开始愉快的玩耍了!
2.连接Android模拟器
tasklist -- 查看任务列表
找到NoxVMHandle.exe对应的PID,这里是2608,然后用这个PID找到模拟器和电脑连接的TCP端口,找到127.0.0.1:62xxx的地址。
网络统计-ano | findstr PID --显示该PID的网络连接状态
至此,我们的adb连接模拟器就成功了
用户评论
终于找到了这个教程!我一直很想学习 Drozer ,但总是不知道从哪里开始,这款工具真的太强大了,用来搞定安卓App 真是绝佳利器!
有16位网友表示赞同!
我刚开始学渗透测试,drozer 看起来非常有用啊。这篇安装篇写的简单清晰,很容易理解。不过我还是有些问题,比如如何选择合适的 Drozer 版本呢?
有20位网友表示赞同!
对Android App渗透测试了解的不多,看了这篇教程感觉很有意思。Drozer这个工具真是太酷了!我打算试着跟着 tutorial 学学看,看看自己能不能搞定一个简单的App漏洞。
有5位网友表示赞同!
这篇文章写的不错,安装过程简单易懂,即使小白也能顺利完成。不过,安装完之后还需要学习如何使用 Drozer,这需要更多教程来支持啊!
有8位网友表示赞同!
Drozer 在渗透测试中确实很有用,但是这个工具也是被滥用的风险很高啊... 希望大家使用时要谨慎和合法!
有7位网友表示赞同!
我早就知道 Drozer 可以用来分析安卓应用了,这篇教程详细介绍它的安装过程,真是太棒啦! 终于可以开始学习使用了!等掌握一下基本操作,就来试试把一个App漏洞搞出来!
有8位网友表示赞同!
虽然这篇文章写得很不错,内容很全,但我个人觉得对于初学者来说可能有些难度。比如对一些命令的使用需要更详细的解释。
有8位网友表示赞同!
安卓开发过程中安全问题确实很重要,这款 Drozer 工具的确可以帮助我们发现潜在的漏洞。学习起来还是比较容易的,只要好好阅读这篇教程就差不多了!
有5位网友表示赞同!
Drozer 的功能十分强大, 想想看看它能破解哪些应用啊?如果这个工具被黑客利用的话后果不堪设想... 希望开发者能够加强安全防护措施!
有7位网友表示赞同!
感谢作者分享这篇文章教程,让我学习到安卓App渗透测试的知识!期待之后更多关于Drozer 的相关教程!
有20位网友表示赞同!
这篇文章虽然详细介绍了 Drozer 的安装过程,但我还是觉得这个工具太复杂了,我还没找到合适的应用场景。或许需要多研究一下它的使用方法才行。
有17位网友表示赞同!
我觉得 Drozer 更适合专业安全工程师使用,普通用户可能不太方便操作。 但对于学习渗透测试的人来说,Drozer 是必备学习的工具!
有15位网友表示赞同!
这篇文章真的太实用啦!我一直在找关于安卓App渗透测试的方法,终于找到了!这篇教程简单易懂,安装步骤清晰明了 ,感谢作者分享!
有9位网友表示赞同!
学习 Android App 的安全知识真的很重要!Drozer 作为一款强大的测试工具,能够有效帮助我们发现应用中的漏洞。我会继续关注相关教程学习如何使用它!
有14位网友表示赞同!
我有一个想法,有没有人研究如何在 Drozer 中加入一些自动化功能?这样会大大提高测试效率!
有8位网友表示赞同!
" 安卓App渗透测试Drozer(安装篇) 我想了解的是Drozer有哪些主要的功能?可以给我介绍一下吗?
有6位网友表示赞同!
这篇文章写的真好!让我快速入门了 Drozer 的安装。期待能看到更多关于 Drozer 用途和技巧的教程,比如如何利用它来查找特定类型的漏洞等。
有19位网友表示赞同!
这篇教程对于想要开始学习 Android App渗透测试的人来说是一大福音!感谢作者分享!
有7位网友表示赞同!