Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
-
Upload
anon943327421 -
Category
Documents
-
view
215 -
download
0
Transcript of Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
1/12
DENUNCIAServicios de Seguridad Cibernética
Mobile Pruebas de Penetración En Android
Usando Drozer [DESCARGAR + TUTORIAL]
DzGangster (http://terminatio.org/author/dzgangster/) 10 de julio 2015
Noticias (http://terminatio.org/category/news/) , Tutoriales
(http://terminatio.org/category/tutorials/)
http://terminatio.org/category/tutorials/http://terminatio.org/category/news/http://terminatio.org/author/dzgangster/
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
2/12
Los teléfonos móviles se han convertido en una parte indispensable de nuestra vida
cotidiana. Utilizamos los teléfonos móviles para comunicarse con nuestros seres
queridos, para un rápido acceso a la información a través de Internet, para realizar
transacciones a través de aplicaciones de banca móvil o para relajarse leyendo un
buen libro.
En cierto modo, una gran parte de nuestra vida privada se ha movido en el entornodigital. Los teléfonos móviles parecen ser un tesoro de bolsillo de secretos e
información, ocultando nuestras fotos más valiosas, correos, contactos e incluso
información bancaria. No es de extrañar por eso que necesitan los teléfonos móviles
para tener seguridad a prueba de balas.
Android es el sistema operativo más común para los dispositivos móviles y es
particularmente interesante desde el punto de vista de seguridad. Es muy permisiva,
que permite a sus usuarios personalizar casi cualquier cosa, privilegios administrativos
(aka enraizamiento) puede ser desbloqueado en la mayoría de los teléfonos, que tiene
un sistema muy difusa para los permisos requeridos por las aplicaciones y
características de diferentes maneras para una aplicación para interactuar con otros
aplicaciones.
En esta entrada del blog, nos vamos a centrar en cómo las aplicaciones de Android
pueden interactuar entre sí y cómo la seguridad de esas interacciones se puede probar.
Cómo aplicaciones pueden interactuar
entre síLos principales métodos para las comunicaciones entre aplicaciones son:
1. Una aplicación puede enviar unaintención
con el fin de iniciar unaactividad
exportado
por otra aplicación;
2. Una aplicación puede acceder a los contenidos proporcionados por otraaplicación, utilizando
contenido: //
URI;
3. Una aplicación puederetransmitir un acontecimiento
a través de aplicaciones con
el fin de interactuar con unreceptor de radiodifusión
implementado en otra
aplicación;
4. Una aplicación puede acceder a un servicio exportado por otra aplicación.
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
3/12
Como se puede ver, hay muchas interacciones. Prueba de una manera anticuada
(mediante la creación de una aplicación para todas las pruebas que tenga en mente,
instalarlo en su dispositivo y ejecutar la prueba-app) es mucho tiempo, así que no es
realmente una solución. Aquí es donde entra en juego Drozer.
Presentación de DrozerDrozer es un ambicioso proyecto desarrollado por MWR InfoSecurity. Aunque es una
navaja suiza tipo de herramienta, me centraré en la forma en que se puede utilizar con
el fin de comenzar con una actividad exportado.
En primer lugar, es necesario instalarDrozer
. Usted puede hacerlo dirigiéndose a la
oficial página (https://www.mwrinfosecurity.com/products/drozer/#downloads) y siga
las instrucciones, o puede descargar Appie (https://manifestsecurity.com/appie/) - un
conjunto de herramientas creadas para las pruebas de penetración móvil, contiene
una versión portátil de Drozer.
En segundo lugar, es necesario instalarel gente Drozer
en su dispositivo móvil. El
dispositivo móvil no tiene que tener sus raíces. Agente Drozer es una aplicación para
Android que requiere privilegios mínimos (acceso internet solamente) y actúa como un
puente entre el Drozer instalar desde el ordenador y el dispositivo móvil. Se puede
descargar de las mismas fuentes como se mencionó anteriormente, teniendo en
cuenta que la Drozer versión y Agente Drozer versión deben coincidir.
El tercer paso es instalar en su dispositivo móvil la aplicación que desea probar. Para
las pruebas y la formación, puede utilizar una de las siguientes aplicaciones:
tamiz de
(https://www.mwrinfosecurity.com/system/assets/380/original/sieve.apk) una
aplicación maldita vulnerable desarrollado por MWR InfoSecurity -;
FourGoats - una aplicación vulnerable incluido en de OWASP GoatDroid
(https://github.com/jackMannino/OWASP-GoatDroid-Project) proyecto;
Rebaño financiera - otra aplicación vulnerable incluido en de OWASP GoatDroid(https://github.com/jackMannino/OWASP-GoatDroid-Project) proyecto;
una aplicación en el mundo real, voy a utilizar para esta demo Firefox para
Android (https://play.google.com/store/apps/details?id=org.mozilla.firefox) -
instalado desde Google Play.
Conexión Drozer al dispositivo móvil Para conectar Drozer al dispositivo móvil, tenemos que seguir los siguientes pasos:
https://manifestsecurity.com/appie/https://www.mwrinfosecurity.com/system/assets/380/original/sieve.apkhttps://github.com/jackMannino/OWASP-GoatDroid-Projecthttps://play.google.com/store/apps/details?id=org.mozilla.firefoxhttps://www.mwrinfosecurity.com/products/drozer/#downloadshttps://github.com/jackMannino/OWASP-GoatDroid-Project
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
4/12
Conecte el dispositivo móvil al ordenador mediante un cable USB;
Abra la aplicación Agente Drozer en su dispositivo móvil y haga clic en el SOBRE
botón de la parte inferior derecha;
Iniciar Agente Drozer
Utiliceadb.exe
para abrir un socket TCP entre el ordenador y el servidor
incrustado en Agente Drozer:adb.exe tcp adelante: 31415 tcp: 31415
Ir a la carpeta donde instaló Drozer y conectarse al dispositivo móvil: consola
drozer.bat conectar
(https://kpmgsecurity.files.wordpress.com/2015/07/drozer-console-connect.png)
Inicio de una actividad de otro paquete
https://kpmgsecurity.files.wordpress.com/2015/07/drozer-console-connect.png
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
5/12
Ok, ahora tenemos una consola Drozer interactiva. Qué podemos hacer? Vamos a
empezar una actividad, comando por comando:
lista , se mostrará una lista de comandos disponibles en Drozer
ejecutar app.package.list -f firefox
para encontrar una lista de paquetes que
contienen la cadena "firefox"; encontramos org.mozilla.firefox.
ejecutar app.package.attacksurface org.mozilla.firefox para identificar la
superficie de ataque para nuestra aplicación; encontramos 113 actividades
exportados, 12 receptores exportados de difusión, 8 exportan los proveedores de
contenidos y servicios exportados 1; este es un buen ejemplo de una superficie
de gran ataque.
ejecutar app.package.manifest org.mozilla.firefox
para extraer el archivo
AndroidManifest.xml para nuestro paquete (para encontrar información acerca
de las actividades de exportación).
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
6/12
ejecutar app.activity.info -a org.mozilla.firefox
a la lista de las actividades de
exportación; podemos ver que hay una actividad exportado llamado
org.mozilla.firefox.App que no requiere ningún permiso para ser iniciado.
Analizando el
AndroidManifest.xml archivo que hemos recuperado anteriormente, podemos ver que
org.mozilla.firefox.App se define como un alias para web.mozilla.gecko.BrowserApp
actividad y que tiene varios filtros intención (un intento debemos cumplir con al menos
un filtro con el fin de iniciar la actividad).
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
7/12
ejecutar app.activity.start componente z org.mozilla.firefox org.mozilla.firefox. pp
-action android.intent.action.VIEW -Categoría android.intent.category.DEF ULT -
data-uri http://securitycafe.ro (http://securitycafe.ro/) a comenzar una actividad.
Como resultado, Firefox abre una nueva pestaña en el dispositivo móvil y navegar a un
sitio web realmente genial.
Entonces qué paso? El cuento es que Drozer agente, una aplicación sin permisos
especiales instalados en nuestro dispositivo móvil, puede iniciar actividades que se
exportaron por otras aplicaciones. Y esto es sólo la punta del iceberg.
http://securitycafe.ro/
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
8/12
Es importante entender que cualquier otra aplicación por ahí puede iniciar una
Intención de esta manera, no sólo Drozer. Si desea probar por ti mismo y crear una
aplicación de Android sencillo que inicia una intención, aquí está el código equivalente
para la sintaxis Drozer utilizado anteriormente:
¿Qué pasa si la actividad requiere permisosespeciales para iniciarse?Si la actividad está protegida de uno de los permisos listados aquí
(http://developer.android.com/reference/android/Manifest.permission.html) ,
entonces podemos construir nuestro propio agente Drozer con permisos extendidos.
No es imposible para aplicaciones de malware que se instalan con permisos
extendidos, la mayoría de los usuarios aceptan ninguna solicitud de permiso sin
leerlos.
Como un pequeño desvío, considero sistema de permisos de Android para estar roto.
He aquí un ejemplo (los permisos requeridos por una de las más utilizadas Linterna
aplicaciones desde Play Store):
http://developer.android.com/reference/android/Manifest.permission.html
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
9/12
En caso de una linterna de ser capaz de tomar fotos y videos con mi cámara? No. En
caso de una linterna capaz de descargar datos desde Internet? No. ¿Debo permitir que
una linterna para tener acceso completo a la red? No. ¿Debo permitir que una linterna
para modificar la configuración de mi sistema? Por supuesto que no.
Eso es sólo un ejemplo, pero ilustra muy bien cómo no se puede saber si una aplicación
es inofensivo o no, a juzgar sólo por los permisos que requiere. Así pues, si unaaplicación de linterna se instala en más de 100.000.000 dispositivos con permisos
ampliados, entonces es seguro asumir que el malware conseguirá instalado en el
dispositivo de la víctima con algunos permisos; se vería sospechoso si la aplicación de
malware no requeriría ningún permiso en absoluto.
Volver a nuestra meta, podemos construir un Agente Drozer con permisos específicos
utilizando la instancia Drozer de nuestro ordenador: agente drozer.bat construir -
permission "android.permission.SOMETHING"
f instalamos el Agente Drozer de nueva construcción en nuestro dispositivo móvil, nos
daremos cuenta de que requiere los permisos adicionales.
Después de instalar el nuevo Agente Drozer, podemos seguir los mismos pasos que se
describen en este artículo, para iniciar una actividad que requiere permisos
específicos.
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
10/12
ConclusionesAl final, me gustaría señalar que Android cuenta con un modelo de seguridad compleja
y, a veces, la complejidad es el peor enemigo de la seguridad. Teniendo en cuenta
todas las interacciones que son posibles entre aplicaciones, debemos probar a fondo la
seguridad de las aplicaciones que construimos. Es mejor prevenir que curar!
Apóyanos, Share this:
Deja una Respuesta:
(http://terminatio.org/mobile-penetration-testing-on-android-using-drozer/?share=twitter&nb=1) 17
(http://terminatio.org/mobile-penetration-testing-on-android-using-drozer/?share=facebook&nb=1) 97
(http://terminatio.org/mobile-penetration-testing-on-android-using-drozer/?share=google-plus-
1&nb=1)
Relacionados
Más de 600 millones de
dispositivos Samsung S
abierto a hackear (+ Video
Tutorial)
(http://terminatio.org/more-
than-600-million-samsung-s-
devices-open-to-hack-
tutorial-video/)
Hack Gmail usando móvil!
(http://terminatio.org/hack-
gmail-using-mobile/)
Hack Android Bloqueo del
teléfono Patrón Sin Factory
Reset
(http://terminatio.org/hack-
android-phone-lock-pattern-
without-factory-reset/)
Your Name
Email
Website
http://terminatio.org/hack-gmail-using-mobile/http://terminatio.org/mobile-penetration-testing-on-android-using-drozer/?share=twitter&nb=1http://terminatio.org/mobile-penetration-testing-on-android-using-drozer/?share=facebook&nb=1http://terminatio.org/more-than-600-million-samsung-s-devices-open-to-hack-tutorial-video/http://terminatio.org/hack-android-phone-lock-pattern-without-factory-reset/http://terminatio.org/mobile-penetration-testing-on-android-using-drozer/?share=google-plus-1&nb=1
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
11/12
PUBLICAR COMENTARIO
Notifiqueme de seguimiento de los comentarios por correo electrónico.
Notifícame de nuevas entradas por e-mail.
Message
Anuncios
Últimos Mensajes
[E-Book] Hackear: el arte de la explotación | Por Jon Erickson | (http://terminatio.org/e-book-
hacking-the-art-of-exploitation-by-jon-erickson/)
Ataque de fuerza bruta usando HYDRA [Tutorial] (http://terminatio.org/brute-force-attack-using-
hydra/)
Hervesting datos: Una introducción a la medicina forense automatizados con extractor mayor
[Tutorial] (http://terminatio.org/hervesting-data-an-introduction-to-automated-forensics-with-bulk-extractor/)
Pentest Herramienta Arsenal [Infografía] (http://terminatio.org/pentest-tool-arsenal-
infographic/)
Cómo crack números de tarjetas de crédito [Tutorial completo] (http://terminatio.org/how-to-
crack-credit-card-numbers-complete-tutorial/)
http://terminatio.org/brute-force-attack-using-hydra/http://terminatio.org/hervesting-data-an-introduction-to-automated-forensics-with-bulk-extractor/http://terminatio.org/how-to-crack-credit-card-numbers-complete-tutorial/http://terminatio.org/e-book-hacking-the-art-of-exploitation-by-jon-erickson/http://terminatio.org/pentest-tool-arsenal-infographic/
-
8/19/2019 Mobile Pruebas de Penetración En Android Usando Drozer [DESCARGAR + TUTORIAL] _ DENUNCIA
12/12
Copyright © 2015 DENUNCIA. Todos Los Derechos Reservados.
(https://www.facebook.com/Terminatio.Org)(https://twitter.com/TerminatioOrg)(https://www.youtube.com/c/TerminatioOrgOfficial)
(https://plus.google.com/+TerminatioOrgOfficial)
Anuncios
https://plus.google.com/+TerminatioOrgOfficialhttps://www.facebook.com/Terminatio.Orghttps://twitter.com/TerminatioOrghttps://www.youtube.com/c/TerminatioOrgOfficial