Pentest en Android con Drozer
cbreeto
735 views
12 slides
Jul 18, 2016
Slide 1 of 12
1
2
3
4
5
6
7
8
9
10
11
12
About This Presentation
Como realizar pentest, utilizando la herramienta de Drozer como método principal.
Sirve para medir el nivel de seguridad de una aplicación.
Slide Content
Pentesting en Dispositivos
Android con
Drozer
Android con
Drozer
T e m a r i o
1.Seguridad en Android
2.¿Qué es Drozer?
3.Obteniendo Credenciales
4. Live Demo
1.Seguridad en Android
2.¿Qué es Drozer?
3.Obteniendo Credenciales
4. Live Demo
1.Seguridad enAndroid
•Aplicaciones
•Framework de Aplicaciones
•Librerias
•Android Runtime
•LibreriasCore
•DVM (DalvikVirtual Machine)
•Capa Abstractade Hardware
•Kernelde Linux
•Aplicaciones
•Framework de Aplicaciones
•Librerias
•Android Runtime
•LibreriasCore
•DVM (DalvikVirtual Machine)
•Capa Abstractade Hardware
•Kernelde Linux
¿Qué es ?
Framework para Auditar y Atacar Dispositivos Android
Validar el nivel de seguridad de las aplicaciones
Usar y publicar exploits públicos
Descubre vulnerabilidades en las aplicaciones
Ejecuta código dinámico Java
En dispositivos reales o emuladores
Automatizar mediante módulos
Framework para Auditar y Atacar Dispositivos Android
Validar el nivel de seguridad de las aplicaciones
Usar y publicar exploits públicos
Descubre vulnerabilidades en las aplicaciones
Ejecuta código dinámico Java
En dispositivos reales o emuladores
Automatizar mediante módulos
Prerequisitos
1. Una laptop
-JRE o JDK
-SDK de Android
2. Emulador con Android >2.1 o un dispositivo
3. Descargar el instalador de Drozer
4. Descargar la app Agent.apk
1. Una laptop
-JRE o JDK
-SDK de Android
2. Emulador con Android >2.1 o un dispositivo
3. Descargar el instalador de Drozer
4. Descargar la app Agent.apk
Instalación
1. El cliente Drozer a través del instalador en la computadora
2. La aplicación en la consola:
3. Conectar la consola Drozer con la aplicación agente
$ adb install agent.apk
$ adb forward tcp:31415 tcp:31415
$ drozer console connect
1. El cliente Drozer a través del instalador en la computadora
2. La aplicación en la consola:
3. Conectar la consola Drozer con la aplicación agente
$ adb install agent.apk
$ adb forward tcp:31415 tcp:31415
$ drozer console connect
Demo 1
UsandoDrozer
-El comando list mostrará los módulos preinstalados
El módulo app.package.manifest, obtiene el androidmanifest.xml
run app.package.manifest.com.miapp.vulnerable
-El comando list mostrará los módulos preinstalados
El módulo app.package.manifest, obtiene el androidmanifest.xml
run app.package.manifest.com.miapp.vulnerable
Obteniendo Datos con Drozer
OWASP Top Ten Móviles
! Error de los desarrolladores !
MODE_WORLD_READABLE
MODE_WORLD_WRITABLE
$ /data/data/com.miapp.vulnerable/shared_prefs # cat
credentials.xml
OWASP Top Ten Móviles
! Error de los desarrolladores !
MODE_WORLD_READABLE
MODE_WORLD_WRITABLE
$ /data/data/com.miapp.vulnerable/shared_prefs # cat
credentials.xml
Obteniendo Datos con Drozer
Obteniendo las credenciales
$ /data/data/com.miapp.vulnerable/shared_prefs # cat
credentials.xml
Obteniendo las credenciales
$ /data/data/com.miapp.vulnerable/shared_prefs # cat
credentials.xml
Demo 2
Categories
BusinessDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 735
- Slides 12
- Favorites 2
- Age 3423 days
Related Slideshows
1
DTI BPI Pivot Small Business - BUSINESS START UP PLAN
MeljunCortes
28 views
1
CATHOLIC EDUCATIONAL Corporate Responsibilities
MeljunCortes
30 views
11
Karin Schaupp – Evocation; lançamento: 2000
alfeuRIO
28 views
10
Pillars of Biblical Oneness in the Book of Acts
JanParon
26 views
31
7-10. STP + Branding and Product & Services Strategies.pptx
itsyash298
27 views
44
Business Legislation PPT - UNIT 1 jimllpkggg
slogeshk98
30 views