Android App漏洞之战（1）——drozer+Inspeckage(xposed)+MobSF

> list  //列出目前可用的模块，也可以使用ls
> help app.activity.forintent       //查看指定模块的帮助信息
> run app.package.list      //列出android设备中安装的app
> run app.package.info -a com.android.browser       //查看指定app的基本信息
> run app.activity.info -a com.android.browser      //列出app中的activity组件
> run app.activity.start --action android.intent.action.VIEW --data-uri  http://www.google.com  //开启一个activity，例如运行浏览器打开谷歌页面
> run scanner.provider.finduris -a com.sina.weibo       //查找可以读取的Content Provider
> run  app.provider.query content://settings/secure --selection "name='adb_enabled'"    //读取指定Content Provider内容
> run scanner.misc.writablefiles --privileged /data/data/com.sina.weibo     //列出指定文件路径里全局可写/可读的文件
> run shell.start       //shell操作
> run tools.setup.busybox       //安装busybox
> list auxiliary        //通过web的方式查看content provider组件的相关内容
> help auxiliary.webcontentresolver     //webcontentresolver帮助
> run auxiliary.webcontentresolver      //执行在浏览器中以http://localhost:8080即可访问
以sieve示例
> run app.package.list -f sieve         //查找sieve应用程序
> run app.package.info -a com.mwr.example.sieve         //显示app.package.info命令包的基本信息
> run app.package.attacksurface com.mwr.example.sieve   //确定攻击面
> run app.activity.info -a com.mwr.example.sieve         //获取activity信息
> run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList     //启动pwlist
> run app.provider.info -a com.mwr.example.sieve        //提供商信息
> run scanner.provider.finduris -a com.mwr.example.sieve        //扫描所有能访问地址
> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/--vertical  //查看DBContentProvider/Passwords这条可执行地址
> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "'"   //检测注入
> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts    //查看读权限数据
> run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data/data/com.mwr.example.sieve/databases/database.db /home/user/database.db //下载数据
> run scanner.provider.injection -a com.mwr.example.sieve       //扫描注入地址
> run scanner.provider.traversal -a com.mwr.example.sieve
> run app.service.info -a com.mwr.example.sieve         //查看服务

(1)Activity:
app.activity.forintent -- 找到可以处理已指定的包
app.activity.info -- 获取activity组件信息
app.activity.start -- 开启activity组件
scanner.activity.browsable -- 获取可从web浏览器调用的所有可浏览的activity组件

(2)Service:
app.service.info -- 获取service组件信息
app.service.send -- 向服务组件发送消息并显示答复
app.service.start -- 开启service组件
app.service.stop -- 停止service组件

(3)Content Provider:
app.provider.columns -- 在内容提供程序中列出列
app.provider.delete -- 在内容提供程序中删除
app.provider.download -- 在内容提供程序中下载支持文件
app.provider.finduri -- 在包中查找引用的内容URIS
app.provider.info -- 获取Content Provider组件信息
app.provider.insert -- 插入到Content Provider组件中
app.provider.query -- 查询Content Provider组件
app.provider.read -- 从支持文件的Content Provider读取
app.provider.update -- 更新Content Provider的记录
scanner.provider.finduris -- 搜索可从上下文中查询的Content Provider
scanner.provider.injection -- 测试Content Provider的注入漏洞
scanner.provider.sqltables -- 查找可通过SQL注入漏洞访问的表
scanner.provider.traversal -- 测试Content Provider的基本目录遍历漏洞

(4)Broadcast Receivers:
app.broadcast.info -- 获取有关广播接收器的信息
app.broadcast.send -- 带目的发送广播
app.broadcast.sniff -- 注册一个能嗅出特定意图的广播接收器

app.package.attacksurface------获取包攻击面

app.package.backup------列出使用备份API的包(在标记“允许备份”时返回true)

app.package.debuggable------查找可调试包

app.package.info------获取有关已安装软件包的信息

app.package.launchintent------获取包的启动意图

app.package.list------列出程序包

app.package.manifest------获取包的AndroidManifest.xml

app.package.native------查找嵌入在应用程序中的本地库

app.package.shareduid------查找具有共享uid的包

1.连接drozer：
drozer.bat console connect

2.列出详细APP信息：
run app.package.info -a com.xxx.xxxx

3.查看APP的配置信息
run app.package.manifest com.xxx.xxxx

3.分析是否存在攻击攻击点
run app.package.attacksurface com.xxx.xxxx

==============================================
Activity测试：
4.获取Activity信息
命令 run app.activity.info -a
示例 run app.activity.info -a com.xxx.xxxx

5.Activity跳转
命令：run app.activity.start --component 软件包名 软件包名.对应exported的activtiy
示例：run app.activity.start --component com.example.test com.example.test.Activity

==============================================
Service测试：
6.获取service信息
命令 run app.service.info -a
示例 run app.service.info -a com.xxx.xxxx

7.发送service服务
命令：run app.service.start --component 软件包名 软件包名.对应exported的activtiy --extra 数据
示例：run app.service.start --component com.example.test com.example.test.Activity --extra string phone 12345678901 --extra string content Hello

7-1.调用服务组件
命令：run app.service.start --action 服务名 --component 包名 服务名
示例：run app.service.start --action org.owasp.goatdroid.fourgoats.services.LocationService --component 
org.owasp.goatdroid.fourgoats org.owasp.goatdroid.fourgoats.services.LocationService

==============================================
Broadcast Receivers测试： 
8.获取Broadcast信息
命令 run app.broadcast.info -a
示例 run app.broadcast.info -a com.xxx.xxxx

9.注册一个能嗅出特定意图的广播接收器
命令：app.broadcast.sniff --action "活动"
示例：app.broadcast.sniff --action "ddns.actiton.Token"

10.发送广播
命令：run app.broadcast.send --action 广播名 --extra string name lisi
示例：run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --extra string phoneNumber 1234 --extra string message dog

==============================================
contentProvider测试：
11.获取contentProvider信息
命令：run app.provider.info -a
示例：run app.provider.info -a com.xxx.xxxx

12.获取所有可访问的Uri
命令 run scanner.provider.finduris -a
示例 run scanner.provider.finduris -a com.xxx.xxxx

13.检测SQL注入
命令 run scanner.provider.injection -a
示例 run scanner.provider.injection -a com.xxx.xxxx

14.检测目录遍历
命令 run scanner.provider.traversal -a
示例 run scanner.provider.traversal -a com.xxx.xxxx

15.进行SQL注入
命令 run app.provider.query [--projection] [--selection]
示例 run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/

列出所有表 run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM SQLITE_MASTER WHERE type='table';--"
获取单表（如Key）的数据 run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM Key;--"

16.读取文件系统下的文件
示例 run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts

17.下载数据库文件到本地
示例 run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data/data/com.mwr.example.sieve/databases/database.db d:/database.db

Xposed框架安装
Inspeckage模块网址：http://repo.xposed.info/module/mobi.acpm.inspeckage  //也可以直接到Xposed模块库中搜索

Xposed框架安装：
（1）4.4以下Android版本安装比较简单，只需要两步即可
1.对需要安装Xposed的手机进行root
2.下载并安装xposedInstaller,之后授权其root权限，进入app点击安装即可
    但是由于官网不在维护，导致无法直接通过xposedinstaller下载补丁包
（2）Android 5.0-8.0 由于5.0后出现ART，所以安装步骤分成两个部分：xposed.zip 和 
    XposedInstaller.apk,zip文件是框架主体，需要进入Recovery后刷入，apk文件用于Xposed管理
    1.完成对手机的root，并刷入reconvery(比如twrp),使用Superroot
    2.下载你对应的zip补丁包，并进入recovery刷入
    3.重启手机，安装xposedInstaller并授予root权限即可
    官网地址：https://dl-xda.xposed.info/framework/
（3）由于Android 8.0后，Xposed官方作者没有再对其更新，我们一般就使用国内大佬riyu的Edxposed框架
Magisk + riyu + Edxposed
具体安装过程，大家百度搜索

（1）我们首先在choose target中选择目标应用程序，然后我们点击Launch，启动该目标程序
（2）然后我们进行端口转发,转发手机的8008端口到本地：adb forward tcp:8008 tcp:8008
（3）接着我们在电脑上访问 http://127.0.0.1:8008 就可以看到Inspeckage的web界面。(如果web也买你没有输出结果，查看APP is running是否为true，Logcat左边分那个自动刷新按钮是否开启)

Logcat                               实时查看该app的logcat输出
Tree View                         可以实时浏览app的数据目录并直接下载文件到本地
Package Information     应用基本信息（组件信息、权限信息、共享库信息）
Shared Preferences       LOG：app XML文件读写记录；Files：具体XML写入内容
Serialization                     反序列化记录
Crypto                                常见加解密记录（KEY、IV值）
Hash                                 常见的哈希算法记录
SQLite                               SQLite数据库操作记录
HTTP                                 HTTP网络请求记录
File System                      文件读写记录
Misc.                                  调用Clipboard,URL.Parse()记录
WebView                          调用webview内容                  
IPC                                     进程之间通信记录
+Hooks                             运行过程中用户自定义Hook记录
参考网址：https://blog.csdn.net/tom__chen/article/details/78216732

总结：
Inspeckage是一款功能强大的Android安全测试工具，为用户提供了可视化的UI界面，很大程度上帮助用户去进行测试工作，可以对APP应用的基本配置信息进行检测，而且还可以提供用户简单的hook操作，用户可以很方便并且可视化的进行一些hook操作，还可以去修改设备和设备上应用程序的很多基本属性，还可以添加代理，绕过一些证书的固定。
参考网址：
官方网址：https://github.com/ac-pm/Inspeckage#information-gathering
https://repo.xposed.info/module/mobi.acpm.inspeckage
博客网址：https://blog.csdn.net/tom__chen/article/details/78216732

移动安全框架（MobSF）是一种自动化的移动应用程序（Android / iOS / Windows）测试框架，能够执行静态，动态和恶意软件分析。 它可用于 Android，iOS 和 Windows 移动应用程序的有效和快速安全分析，并支持二进制文件（APK，IPA 和 APPX）和压缩源代码。 MobSF 可以在运行时为 Android 应用程序进行动态应用程序测试，并具有由 CapFuzz（一种特定于 Web API 的安全扫描程序）提供支持的 Web API 模糊测试。

安装 Git：https://git-scm.com/download/win
安装 Python3.7（3.8会出现错误)：https://www.python.org/ftp/python/3.7.9/python-3.7.9-amd64.exe
安装 JDK 8+：https://www3.ntu.edu.sg/home/ehchua/programming/howto/JDK_Howto.html
安装  Microsoft Visual C++ Build Tools: https://visualstudio.microsoft.com/thank-you-downloading-visual-studio/?sku=BuildTools&rel=16
安装  OpenSSL: https://slproweb.com/products/Win32OpenSSL.html
安装  wkhtmltopdf: https://wkhtmltopdf.org/downloads.html //wkhtmltopdf主要是为了将生成的报告转换成pdf版本
wkhtmltopdf 操作指南：https://github.com/JazzCore/python-pdfkit/wiki/Installing-wkhtmltopdf
将包含 wkhtmltopdf 二进制文件的文件夹添加到环境变量PATH

步骤1：下载好项目之后，可以重命名项目文件夹名称MobSf，打开cmd窗口进入该项目目录。将项目内的requirements.txt打开，最后一行libsast==1.2.2改为libsast==1.3.4 

步骤2：安装OpenSSL和wkhtmltopdf，并配置好wkhtmltopdf环境后，我们在终端进入文件夹，然后运行run.bat

步骤3：我们打开浏览器，在输入网址：127.0.0.1:8000，如果需要修改默认端口，可以在run.bat中修改SET conf="0.0.0.0:8000"中的端口号

参考网址：
https://www.mad-coding.cn/2019/10/11/%E4%BD%BF%E7%94%A8docker%E5%AE%89%E8%A3%85%E7%A7%BB%E5%8A%A8%E5%AE%89%E5%85%A8%E6%A1%86%E6%9E%B6%EF%BC%88MobSF%EF%BC%89/#0x01-%E5%BC%80%E5%A7%8B%E5%AE%89%E8%A3%85

参考网址：https://blog.csdn.net/Alexhcf/article/details/107438583

安装环境：
Mac OS 10.14
Python 3.8
java 12.0.2
MobSF v3.1 beta
安装步骤：
参考网址：http://www.51ste.com/share/det-5952.html

Genymotion官方地址：https://www.genymotion.com/download/

问题1：Genymotion模拟器无法联网问题：
我们需要去检测Genymotion模拟器的相关配置，具体解决方案参考：https://www.jianshu.com/p/ecb88d6bd815
问题2：废话不多说、电脑上的360管家等最好关闭，虽然这里不一定是这个导致，不过作为一名逆向人员，最好不要打开这些管家
问题3：安装Genymotion时，需要将VirusBox安装到默认路径下，不然会报错，安装后重启电脑

《移动应用安全形势报告》（2020）：https://www.isc.org.cn/zxzx/xhdt/listinfo-40058.html
https://ayesawyer.github.io/2019/08/21/Android-App%E5%B8%B8%E8%A7%81%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E/
https://xuanxuanblingbling.github.io/ctf/android/2018/02/12/Android_app_part1/

https://labs.f-secure.com/tools/drozer/
http://rui0.cn/archives/30
http://www.feidao.site/wordpress/?p=3438

https://www.e-learn.cn/topic/3470422
https://blog.csdn.net/tom__chen/article/details/78216732
https://repo.xposed.info/module/mobi.acpm.inspeckage

https://www.codeleading.com/article/13073244765/
https://blog.csdn.net/Alexhcf/article/details/107438583
https://github.com/MobSF/Mobile-Security-Framework-MobSF
http://www.51ste.com/share/det-5952-3.html
https://bbs.pediy.com/thread-218973.htm