drozer源码学习:app
阅读原文时间:2023年07月11日阅读:1

源码下载:https://github.com/mwrlabs/drozer;模块的源码位于src.drozer.modules,根据模块名来划分文件夹:

app、auxiliary、exploit、information、scanner、shell、tools。今天我们先分析app;以下PackageManagerService简称PMS。在分析模块原理之前稍微讲解下一些基础知识:

PackageInfo:包含app的一系列属性,对应于app的AndroidManifest.xml。可由PMS get,但get到的packageInfo中信息取决于get函数中的flags参数,见activity.info模块

Intents:在与drozer交互中时常需要构造intent,构造intent与adb中的命令有所不同,请”help intents”命令查看参数

Activity:

info:列出exported activity的信息,-a指定package;

指定package:      PMS.getpackageinfo(package,GET_ACTIVITIES)返回packageInfo; packageInfo.activities(包含package中所有activity,但只有GET_ACTIVITIES属性才会给packageInfo返回activities)

没有指定package:       PMS.getInstallPackages(GET_ACTIVITIES)  返回list

PackageInfo.activities就是List,根据ActivityInfo(父类是ComponentInfo->父类PackageItemInfo)的属性name、exported值来得到我们需要的activity。

start:启动activity

通过startActivity(intent)来启动,利用start的参数来构造intent

forintent:找出能处理特定intent的activity

利用forintent参数构造intent,然后PMS. queryIntentActivities(intent,flags)查找符合intent的activity,并显示package和activity的名称。

Broadcast:

Info:       列出exported broadcast的信息,-a指定package。

指定package:PMS.getPackageInfo(package,flags)    ,注意这次的flag包括broadcast和permission表示返回的packageInfo中包含broadcast和permission(但貌似中没用到package的permission哎,只用到broadcast的permission)

无指定package:PMS.getPackages(flag),返回list< packageInfo > 过滤Info参数后剩余的broadcast显示receiver和对应的permission

Send:     用intent启动广播

利用send参数来构造intent,然后sendBroadcast(intent)。

Sniff:  注册广播接收器接收特定的intent,源码位于:src.drozer.modules.common.RegisterReceiver.java。

加载一个类,类中包含broadcast的注册代码且broadcast的intentFilter参数是通过sniff参数构建出来的(service.send类同操作)。

Service:

info:列出exported service的信息

类同操作,通过PMS返回packageInfo,过滤参数后输出对应的service信息

start:用intent启动service-> startService(intent)

stop:用intent停止service

注意:使用的是Context().stopService这个api,上面startService()也是Context。

send:      绑定一个service并发送信息,如果service有返回信息会接收。  这是在不同app之间传递msg哦;但在这个send需要attcked app的配合。因为绑定service需要app的service在onbind()返回binder。这个有源代码在src.drozer.modules.common.ServiceBinder.java。需要注意的是参数 –bundle-as-obj它决定是否将bundle赋值给msg.obj;否则msg.setData(bundle)。再说一点,参数—extra的值由bundle来构造。

Package:

attacksurface:     列出package中可被attack的各组件的个数

实际上这条命令是列出package中exproted的组件;通过PMS get 到PacakgeInfo,再过滤出exproted的packageInfo。

backup:                列出使用backup的package

PMS get packageInfo,找到属性applicationInfo的FLAG_ALLOW_BACKUP对应位为1

debuggable:        列出可被调试的package

PMS get packageInfo,找到属性applicationInfo的FLAG_DEBUGGABLE对应位为1

info:                     列出设备上安装好的所有package的详细信息,但可使用参数来选定特定的package,详情”help”;PMS get到packageInfo(注意configuration flag),输出UID、gid、path等

launchintent:       列出package中launch intent的信息(可以获知main activity)

PMS的queryIntentActivities函数去get,但与activity.forintent不同的是,这里指定intent为ACTION_MAIN

list:                      列出设备上的所有的package(只有name),可指定参数;PMS get

manifest:                    列出package的manifest文件内容

创建package的context得到资源从中获取到manifest文件,然后利用XmlAssetReader读取信息并显示,代码位于(createPackageContext(package,0)??)src.drozer.modules.common. XmlAssetReader.java。

native:                 列出package包含的so文件

PMS get到packageInfo,然后得到application的apk地址(/data/app;为什么不直接去/data/app-lib/下找呢?),在文件地址下查找后缀名为”.so”的文件(源码位于src.drozer.modules.common.Native.java;在此我们也可以看到apk格式实际就是zip压缩)

shareduid:           列出共享uid的package

PMS getPackagesForUid(UID)去找到uid=UID的package

Provider:             主要的函数体执行在\common\provider.py

columns:       列出provider的列名

contentResolver去利用uri得到ContentProviderClient,client去负责query后直接getColumnNames

delete:          删除provider中符合参数的行

同上,ContentProviderClient去执行delete操作

download:    下载provider文件

首先getContentResolver()得到contentResolver,再利用uri得到

ContentProviderClient①,然后用client去读取provider并写到本地文件;若①失败,直接openInputStream(URI)来读取provider。

finduri:         列出package中的content uri

PMS get packageInfo,跟info命令没区别啊,但它只输出provider authority

info:              列出package中的详细信息

PMS get到packageInfo信息;注意不加-u参数输出的是exproted的provider;4.2之前provider默认是exproted。

insert:           在provider插入数据;同delete操作

query:           在provider查询;同delete操作

read:             从provider中读数据

与download命令相同,少了写数据到本地文件的操作,直接输出

update:         更新provider的数据;同delete操作

       在provider中,主要是利用contentResolver去操作。

我们看到上述模块用到功能都是PMS来完成的,实际代码:

getContext().getPackageManager().getPackageInfo()èApplicationPackageManager.getPackageInfo():

public PackageInfo getPackageInfo(String packageName, int flags)

104            throws NameNotFoundException {

105        try {

106            PackageInfo pi = mPM.getPackageInfo(packageName, flags, mContext.getUserId());

107            if (pi != null) {

108                return pi;

109            }

110        } catch (RemoteException e) {

111            throw new RuntimeException("Package manager has died", e);

112        }

114        throw new NameNotFoundException(packageName);

115    }

我们看到getPackageInfo是调用mPM.getPackageInfo来完成操作的,而mPM是PackageManagerService在applicationPackageManager的binder代理。故最终的操作还是由PMS来执行,PMS管理package的所有信息。那PMS是根据什么来获取信息呢,manifest(安装apk时,会解析此文件并将info保存在/data/system/package.xml)?如果不是动态的话attackSurface是否会有遗漏(动态注册的broadcast)

当drozer进行复杂或者需要与app交互的操作时,会直接加载特定功能的类到VM来达到交互:下面这个问题待解答

self.loadClass("common/XmlAssetReader.apk", "XmlAssetReader")

分析上述drozer模块我们发现,其实drozer做的是找到attacSurface然后人工组合特定intent(这个很关键)。但要达到attack的目的,需要我们根据app源码来构造特定intent,这需要我们掌握apk的反汇编和反编译工具并熟悉smail及java;IDE工具:Apk改之理、androidKiller、JEB

至于app的attackSurface,请参考下图,但包含intent-filter的组件默认是exproted(安全性:保护等级-签名相同;权限要求:特定自己申明的权限(权限也是有等级:normal、dangerous、system、signature))。

官方文档翻译:http://yunpan.cn/ccvBxd5XpQZ4P  访问密码 429e;不足之处还请见谅

参考资料:

1 the_mobile_hackers_handbook.pdf

版权声明:本文为博主原创文章,未经博主允许不得转载。

手机扫一扫

移动阅读更方便

阿里云服务器
腾讯云服务器
七牛云服务器

你可能感兴趣的文章