drozer源码学习：app

源码下载：https://github.com/mwrlabs/drozer；模块的源码位于src.drozer.modules,根据模块名来划分文件夹：

app、auxiliary、exploit、information、scanner、shell、tools。今天我们先分析app；以下PackageManagerService简称PMS。在分析模块原理之前稍微讲解下一些基础知识：

PackageInfo：包含app的一系列属性，对应于app的AndroidManifest.xml。可由PMS get，但get到的packageInfo中信息取决于get函数中的flags参数，见activity.info模块

Intents：在与drozer交互中时常需要构造intent，构造intent与adb中的命令有所不同，请”help intents”命令查看参数

Activity：

info：列出exported activity的信息，-a指定package；

指定package：      PMS.getpackageinfo(package,GET_ACTIVITIES)返回packageInfo; packageInfo.activities(包含package中所有activity，但只有GET_ACTIVITIES属性才会给packageInfo返回activities)

没有指定package:       PMS.getInstallPackages(GET_ACTIVITIES)  返回list<packageInfo>

PackageInfo.activities就是List<ActivityInfo>，根据ActivityInfo(父类是ComponentInfo->父类PackageItemInfo)的属性name、exported值来得到我们需要的activity。

start：启动activity

通过startActivity(intent)来启动，利用start的参数来构造intent

forintent：找出能处理特定intent的activity

利用forintent参数构造intent，然后PMS. queryIntentActivities(intent,flags)查找符合intent的activity，并显示package和activity的名称。

Broadcast:

Info:       列出exported broadcast的信息，-a指定package。

指定package：PMS.getPackageInfo(package，flags)    ，注意这次的flag包括broadcast和permission表示返回的packageInfo中包含broadcast和permission(但貌似中没用到package的permission哎，只用到broadcast的permission)

无指定package：PMS.getPackages(flag)，返回list< packageInfo > 过滤Info参数后剩余的broadcast显示receiver和对应的permission

Send:     用intent启动广播

利用send参数来构造intent，然后sendBroadcast(intent)。

Sniff:  注册广播接收器接收特定的intent，源码位于：src.drozer.modules.common.RegisterReceiver.java。

加载一个类，类中包含broadcast的注册代码且broadcast的intentFilter参数是通过sniff参数构建出来的(service.send类同操作)。

Service：

info：列出exported service的信息

类同操作，通过PMS返回packageInfo，过滤参数后输出对应的service信息

start：用intent启动service-> startService(intent)

stop：用intent停止service

注意：使用的是Context().stopService这个api，上面startService()也是Context。

send:      绑定一个service并发送信息，如果service有返回信息会接收。  这是在不同app之间传递msg哦；但在这个send需要attcked app的配合。因为绑定service需要app的service在onbind()返回binder。这个有源代码在src.drozer.modules.common.ServiceBinder.java。需要注意的是参数 –bundle-as-obj它决定是否将bundle赋值给msg.obj；否则msg.setData(bundle)。再说一点，参数—extra的值由bundle来构造。

Package：

attacksurface:     列出package中可被attack的各组件的个数

实际上这条命令是列出package中exproted的组件；通过PMS get 到PacakgeInfo，再过滤出exproted的packageInfo。

backup:                列出使用backup的package

PMS get packageInfo，找到属性applicationInfo的FLAG_ALLOW_BACKUP对应位为1

debuggable:        列出可被调试的package

PMS get packageInfo，找到属性applicationInfo的FLAG_DEBUGGABLE对应位为1

info:                     列出设备上安装好的所有package的详细信息，但可使用参数来选定特定的package，详情”help”；PMS get到packageInfo(注意configuration flag)，输出UID、gid、path等

launchintent:       列出package中launch intent的信息(可以获知main activity)

PMS的queryIntentActivities函数去get，但与activity.forintent不同的是，这里指定intent为ACTION_MAIN

list:                      列出设备上的所有的package(只有name)，可指定参数；PMS get

manifest:                    列出package的manifest文件内容

创建package的context得到资源从中获取到manifest文件，然后利用XmlAssetReader读取信息并显示，代码位于(createPackageContext(package,0)？？)src.drozer.modules.common. XmlAssetReader.java。

native:                 列出package包含的so文件

PMS get到packageInfo，然后得到application的apk地址(/data/app;为什么不直接去/data/app-lib/下找呢？)，在文件地址下查找后缀名为”.so”的文件(源码位于src.drozer.modules.common.Native.java；在此我们也可以看到apk格式实际就是zip压缩)

shareduid:           列出共享uid的package

PMS getPackagesForUid(UID)去找到uid=UID的package

Provider:             主要的函数体执行在\common\provider.py

columns:       列出provider的列名

contentResolver去利用uri得到ContentProviderClient，client去负责query后直接getColumnNames

delete:          删除provider中符合参数的行

同上，ContentProviderClient去执行delete操作

download:    下载provider文件

首先getContentResolver()得到contentResolver，再利用uri得到

ContentProviderClient①，然后用client去读取provider并写到本地文件；若①失败，直接openInputStream(URI)来读取provider。

finduri:         列出package中的content uri

PMS get packageInfo，跟info命令没区别啊，但它只输出provider authority

info:              列出package中的详细信息

PMS get到packageInfo信息；注意不加-u参数输出的是exproted的provider；4.2之前provider默认是exproted。

insert:           在provider插入数据；同delete操作

query:           在provider查询；同delete操作

read:             从provider中读数据

与download命令相同，少了写数据到本地文件的操作，直接输出

update:         更新provider的数据；同delete操作

       在provider中，主要是利用contentResolver去操作。

我们看到上述模块用到功能都是PMS来完成的，实际代码：

getContext().getPackageManager().getPackageInfo()èApplicationPackageManager.getPackageInfo()：

public PackageInfo getPackageInfo(String packageName, int flags)

104            throws NameNotFoundException {

105        try {

106            PackageInfo pi = mPM.getPackageInfo(packageName, flags, mContext.getUserId());

107            if (pi != null) {

108                return pi;

109            }

110        } catch (RemoteException e) {

111            throw new RuntimeException("Package manager has died", e);

112        }

114        throw new NameNotFoundException(packageName);

115    }

我们看到getPackageInfo是调用mPM.getPackageInfo来完成操作的，而mPM是PackageManagerService在applicationPackageManager的binder代理。故最终的操作还是由PMS来执行，PMS管理package的所有信息。那PMS是根据什么来获取信息呢，manifest(安装apk时，会解析此文件并将info保存在/data/system/package.xml)？如果不是动态的话attackSurface是否会有遗漏(动态注册的broadcast)

当drozer进行复杂或者需要与app交互的操作时，会直接加载特定功能的类到VM来达到交互：下面这个问题待解答

self.loadClass("common/XmlAssetReader.apk", "XmlAssetReader")

分析上述drozer模块我们发现，其实drozer做的是找到attacSurface然后人工组合特定intent(这个很关键)。但要达到attack的目的，需要我们根据app源码来构造特定intent，这需要我们掌握apk的反汇编和反编译工具并熟悉smail及java；IDE工具：Apk改之理、androidKiller、JEB

至于app的attackSurface，请参考下图，但包含intent-filter的组件默认是exproted(安全性：保护等级-签名相同；权限要求：特定自己申明的权限(权限也是有等级：normal、dangerous、system、signature))。

官方文档翻译：http://yunpan.cn/ccvBxd5XpQZ4P  访问密码 429e；不足之处还请见谅

参考资料：

1 the_mobile_hackers_handbook.pdf

版权声明：本文为博主原创文章，未经博主允许不得转载。