文章总结: AndroHunter是一款原生Android移动安全测试工具,提供静态分析、动态测试、运行时分析和网络拦截等全套功能。主要模块包括DEX分析器、Manifest查看器、Intent模糊测试器、ContentProvider模糊测试器、Frida脚本生成器和流量拦截器等,大部分功能无需root权限。该工具覆盖硬编码密钥、SQL注入、路径遍历、深层链接漏洞等多种攻击面,使用Kotlin和JetpackCompose开发,是移动安全研究人员进行漏洞赏金计划和Android应用安全评估的实用工具。 综合评分: 83 文章分类: 移动安全,安全工具,渗透测试,漏洞分析,应用安全
Android安全研究神器 | 移动渗透测试利器
原创
云天实验室 云天实验室
哆啦安全
2026年3月12日 12:05 四川
APP逆向分析工具V4.5
智能分析产品(28款神器)
Android病毒分析工具V3.2
Android逆向技能树(2026版)
移动安全调试分析工具(29款)
Android智能调试分析工具V7.5
Android日志智能化分析系统V3.5
Android和iOS安全技能树(2026版)
Android | iOS 移动设备取证系统V2.5
Android设备数据恢复技术方案(2026版)
鸿蒙HarmonyOS应用逆向技能树(2026版)
APP悬浮窗逆向分析
AI辅助逆向分析工具
基于Frida的脱壳工具
Ubuntu虚拟机上部署OpenClaw
AI智能体 | 工作流 | Ubuntu环境一键部署OpenClaw
OpenClaw常用命令大全:安装、配置、服务控制与技能管理
概述
AndroHunter 是一款原生 Android 应用程序,提供全套移动安全测试工具——所有功能均在设备上直接运行,大部分功能无需 root 手机。它专为参与漏洞赏金计划(如 HackerOne、Yes We Hack、Intigriti 等)的安全研究人员设计,帮助他们快速高效地分析 Android 应用。
该工具覆盖了整个 Android 攻击面:静态分析(APK、DEX、Manifest)、动态测试(Intent 模糊测试、ContentProvider 探测、Broadcast 注入)、运行时分析(Frida 脚本生成、SSL 绕过)以及网络拦截(HTTP 代理)。
功能模块
📱 应用浏览器
- 列出所有已安装应用及其元数据(包名、版本、权限、目标 SDK)
- 可按系统应用/用户应用过滤
- 从应用详情视图快速跳转至任一分析模块
🔍 DEX 分析器
- 从 APK 中提取并分析
.dex文件 - 扫描硬编码密钥:API 密钥、令牌、密码、URL、私钥
- 字符串模式匹配,附带严重性分类(高危 / 可疑 / 安全)
- 类和方法枚举,支持弹窗查看
- 支持多 dex APK——每个 DEX 文件独立分析
📄 Manifest 查看器
- 直接从 APK 解析
AndroidManifest.xml(无需反编译) - 三标签视图:组件、权限、原始 XML
- 高亮导出的组件、危险权限和深层链接(deep link)方案
- 识别潜在攻击面(导出的 Activity、Service、Receiver、Provider)
🎯 Intent 模糊测试器
- 列出目标应用所有导出的 Activity、Service 和 Broadcast Receiver
- 发送带有自定义 Extra、数据 URI 和 Category 的 Intent
- 支持通过 Intent 数据(
file:///data/...)进行路径遍历攻击 - 与 Payload 引擎集成,实现自动化测试
💥 Payload 引擎
- 基于 Logcat 的实时结果监控
- 向目标组件自动发送预定义 Payload
- 可视化的结果分类:高危(红色) / 可疑(黄色) / 安全(绿色)
- 支持深层链接利用、OAuth 重定向劫持、文件 URI 泄露
🗄️ Content Provider 模糊测试器
- 枚举目标应用所有导出的 ContentProvider
- 对每个 Provider 测试 9 种 SQL 注入 Payload(报错型、布尔型、UNION、时间型)
- 检测可读/可写的 Provider 及 Schema 泄露
- 一键从 APK 分析器发现结果跳转到 Provider 模糊测试器并预填目标
📁 FileProvider 路径分析器
-
从 APK 中解析
res/xml/配置文件,提取 FileProvider 路径定义 -
根据路径类型进行风险分类:
-
root-path且空路径 → 严重(完整文件系统访问) -
external-path且空路径 → 高危 -
cache-path/external-cache-path→ 中危 -
路径遍历测试器:使用 9 种遍历 Payload 自动测试
-
尝试通过
ContentResolver实际读取文件,成功时显示文件内容 -
ADB 命令选项卡:可直接复制的
adb shell content read --uri '...'命令
🏃 Activity 启动器
- 列出任意已安装应用的所有 Activity,并标注是否导出
- 一键启动 Activity,可选择附加 Extra 数据或深层链接注入
- ADB 命令生成器:
adb shell am start -n pkg/activity --es data "payload" - 可仅筛选导出的 Activity,快速识别攻击面
📡 Broadcast 模糊测试器
-
10 种预构建的 Broadcast Payload,涵盖 6 大类别:
-
Auth:登录绕过、会话劫持
-
SQLi:通过 Intent Extra 进行 SQL 注入
-
LFI:通过文件路径 Extra 进行路径遍历
-
Redirect:开放重定向、深层链接劫持
-
PrivEsc:权限提升、组件启用
-
Exfil:通过备份 Intent 进行数据窃取
-
自定义 Broadcast 发送器:指定 Action +
key=valueExtra -
为每个 Payload 提供 ADB 命令复制
🔑 Shared Preferences 读取器
- 从目标应用数据目录读取
shared_prefs/*.xml文件 - 对于可调试应用使用
run-as,否则回退使用dumpsys - 敏感键值检测:
token、password、secret、api_key、session、jwt、cookie - 可按敏感项过滤、全文搜索、一键复制
🐛 Frida 脚本生成器
-
根据选定的目标包生成可立即使用的 Frida Hook 脚本
-
6 种脚本类别:
-
SSL 证书锁定绕过:OkHttp3、TrustManager、Conscrypt、BoringSSL
-
Root 检测绕过:RootBeer、SafetyNet、
File.exists()钩子 -
登录绕过:通过反射自动发现 auth/login/session 类
-
加密监控:钩住
javax.crypto.Cipher,记录所有加密/解密操作 -
SQL 监控:钩住
SQLiteDatabase.rawQuery、execSQL、query -
HTTP 拦截:钩住 OkHttp3 和 HttpURLConnection
-
一键复制脚本(可选是否包含启动命令头)
-
生成的命令可直接使用:
frida -U -f com.target.app -l script.js --no-pause
🔓 SSL 证书锁定绕过指南
- 6 种绕过方法及分步说明:
- Frida SSL Kill Switch 2 —— 最简单,无需 root
- objection ——
android sslpinning disable - Magisk TrustMeAlready —— 系统级绕过
- APK 重打包 —— 通过
apktool注入network_security_config.xml - Xposed / LSPosed + JustTrustMe
- Burp Suite + 用户 CA
🌐 流量拦截器
- 内置 HTTP 代理服务器,运行在
127.0.0.1:8877 - 可捕获任何配置了该代理的应用的 HTTP 流量
- 支持 HTTPS CONNECT 隧道
- 实时请求/响应列表,按方法颜色区分
- 敏感标头高亮显示:
Authorization、Cookie、Token标为红色 - 单个请求详情视图:完整标头、请求体、响应体、时间
curl命令生成器:一键复制捕获的请求- 可按 URL、主机、内容或 HTTP 方法过滤
🖥️ 终端
- 设备端 Shell 命令执行
- 快速命令按钮:
id、whoami、uname -a、env、ifconfig、netstat -an、ps、ls /data - 彩色输出:命令(绿色)、标准输出(白色)、错误输出(红色)
- IME 填充:键盘打开时输入栏保持可见
👁️ Broadcast 监控器
- 实时监控系统及自定义 Broadcast Intent
🎭 Task Hijack(StrandHogg)
- 测试 Task Affinity 劫持漏洞(StrandHogg 1.0)
♿ 无障碍服务监控器
- 监控目标应用的无障碍服务事件
模块架构
com.androhunter.app/├── MainActivity.kt├── AndroHunterApp.kt├── navigation/│ ├── Screen.kt # 类型安全的 @Serializable 目标│ └── NavGraph.kt # Compose NavHost 路由├── core/│ ├── Strings.kt # 模式匹配常量│ └── Language.kt├── ui/│ ├── applist/ AppListScreen│ ├── appdetail/ AppDetailScreen│ ├── dex/ DexAnalyzerScreen│ ├── manifest/ ManifestViewerScreen│ ├── intent/ IntentFuzzerScreen│ ├── payload/ PayloadEngine + PayloadScreen│ ├── providers/ ContentProviderScreen│ ├── fileprovider/ FileProviderScreen│ ├── actlauncher/ ActivityLauncherScreen│ ├── broadcast/ BroadcastFuzzerScreen│ ├── prefs/ SharedPrefsScreen│ ├── frida/ FridaGeneratorScreen│ ├── ssl/ SslBypassScreen│ ├── traffic/│ │ ├── ProxyServer.kt # 在 :8877 上运行的原始 ServerSocket 代理│ │ └── TrafficInterceptorScreen│ ├── terminal/ TerminalScreen│ ├── adb/ AdbScreen│ ├── autoadb/ AutoAdbScreen│ └── common/ HunterTopBar, HunterCard├── monitor/│ ├── BroadcastMonitorScreen + Receiver│ ├── TaskHijackScreen│ └── AccessibilityMonitorScreen + Service└── web/ WebTesterScreen
#
技术栈
| 组件 | 技术 |
| — | — |
| 语言 | Kotlin 2.x |
| UI 框架 | Jetpack Compose(Material 3) |
| 导航 | Navigation Compose(类型安全,@Serializable) |
| 并发 | Kotlin Coroutines + Dispatchers.IO |
| APK 解析 | ZipFile + XmlPullParser(无外部库) |
| 代理服务器 | 运行在 127.0.0.1:8877 的原始 ServerSocket |
| 最低 SDK | 29(Android 10) |
| 目标 SDK | 35(Android 15) |
| 构建系统 | Gradle 8.9 + AGP 8.x |
| Java 版本 | 17 |
#
环境要求
- Android 10+(API 29+)
- 大部分功能无需 root
- Root /
run-as:对于非调试应用,需要这些权限才能读取 SharedPreferences - USB 连接的 ADB:ADB 管理器命令需要
- 设备上运行 Frida 服务:执行 Frida 脚本需要(脚本在设备端生成,从电脑运行)
#
构建指南
git clone https://github.com/ynsmroztas/AndroHunter.gitcd AndroHunter
# 需要 Java 17./gradlew assembleDebug
# 安装adb install app/build/outputs/apk/debug/app-debug.apk
使用指南
流量拦截
# 在应用中点击 ▶ START 启动代理# 在设备的 Wi-Fi 设置中配置代理:127.0.0.1:8877
# 或通过 ADB 设置:adb shell settings put global http_proxy 127.0.0.1:8877
# 使用目标应用,请求会实时显示# 点击任一请求可查看完整详情 + curl 命令
# 完成后移除代理:adb shell settings put global http_proxy :0
Frida 脚本使用
# 将 frida-server 推送到设备adb push frida-server /data/local/tmp/adb shell chmod 755 /data/local/tmp/frida-serveradb shell /data/local/tmp/frida-server &
# 从应用中复制生成的脚本,然后运行:frida -U -f com.target.app -l script.js --no-pause
FileProvider 路径遍历
# 从应用的 ADB 命令选项卡复制命令,例如:adb shell content read --uri 'content://com.target.app.fileprovider/files/../../../data/data/com.target.app/databases/'
覆盖的漏洞类别
| 类别 | 对应模块 | | — | — | | 硬编码密钥 | DEX 分析器 | | 导出组件 | Manifest 查看器、Intent 模糊测试器、Activity 启动器 | | SQL 注入 | Content Provider 模糊测试器 | | 路径遍历 | FileProvider 分析器、Intent 模糊测试器 | | 不安全的深层链接 | Intent 模糊测试器、Payload 引擎、Activity 启动器 | | OAuth 重定向劫持 | Payload 引擎 | | Broadcast 注入 | Broadcast 模糊测试器、Broadcast 监控器 | | SSL 证书锁定 | SSL 绕过指南、Frida 生成器 | | 敏感数据存储 | Shared Preferences 读取器 | | StrandHogg 任务劫持 | Task Hijack 模块 | | HTTP 流量分析 | 流量拦截器 | | Root 检测绕过 | Frida 生成器 | | 加密弱点 | Frida 加密监控器 |
#
未来规划
- HTTPS MITM 与动态证书生成
- SQLite 数据库浏览器(需要 root)
- 报告导出(Markdown / JSON)
- AppDetail v4 模块集成(统一主屏)
- 自定义 Payload 库
- Burp Suite 上游代理链
该工具将所有移动安全测试功能整合到一个应用中,极大地方便了 Android 应用的安全评估。无论是快速扫描还是深入利用,都能在设备上直接完成,是移动安全研究人员的得力助手。
Android脱壳篇
APP脱壳的分析
APP基于Frida脱壳
APP加固和脱壳方案总结
Android加固和脱壳原理探索
基于PE-sieve的动态脱壳神器
Android安全之定制ROM脱壳机浅析
Android系统刷机镜像ROM脱壳和逆向工具
Android10至16系统定制脱壳机(安全测试机)
Android10至16系统ROM定制(脱壳和安全测试)
深入ART Dex加载流程,玩转Android通用脱壳点
FART脱壳:实现AJM壳级别的对抗功能+绕过全解析
so脱壳全流程(识别加壳、Frida Dump、原理深入解析)
干掉抽取壳!FART自动化脱壳框架与Execute脱壳点解析
Android基于ART环境主动调用/FART/通用自动化脱壳系统
Android逆向工具篇
APP逆向分析工具V4.5
APK安全加固平台V5.2
Python逆向分析工具V2.5
Unity手游无Root注入工具
Android病毒分析工具V3.2
Android智能取证系统V1.1.8
Android智能调试分析工具V7.5
Python字节码反编译工具(逆向分析)
Python字节码反编译逆向分析(高级篇)
Android Apk逆向分析工具(jadx-ai-mcp)
逆向交流群|Android智能调试工具(下载地址)
Smali/AAR/JAR/DEX/APK逆向分析转换工具V2.5
鸿蒙安全交流群、移动安全交流群、OpenClaw交流群、APP逆向交流群等技术交流群,需要定制版安全测试机型、定制版脱壳机,定制版移动安全分析工具,商务合作,添加作者微信,微信号:cd_ccms_sec
Android APP自动化测试平台V3.5
云手机Redroid Android13源码一键编译
云手机 Redroid Android 13 一键构建脚本
云手机Android13源码编译(Redroid ARM64一键启动方法)
Android系统定制篇
Android系统ROM定制(课程)
AOSP源码定制-内核驱动编写
Android系统ROM定制汇总篇
Android10至16系统ROM定制篇
AOSP源码定制-对root定制的补充
AOSP Android10定制su隐藏root
Android7至16系统ROM定制篇(2025)
Android12定制版安全测试手机(Pixel3)
AOSP源码定制-so注入并集成hook框架
AOSP源码定制-修改ART实现smali追踪
Android7至Android16系统定制篇(魔改)
AOSP开机动画定制指南(基于Android13)
基于QEMU/KVM定制Android10至16系统
Android10至16系统定制脱壳机(安全测试机)
Android10至16系统ROM定制(脱壳和安全测试)
AOSP Pixel4 Android13系统定制(编译问题解决)
Android系统定制绕过检测(入门到精通-建议收藏)
Android10以上系统定制Root权限(隐藏Root权限)
Android系统定制实现无人直播技术架构和解决方案
云手机Android13系统定制虚拟摄像头(Redroid魔改篇)
Android6.0至13系统定制版手机(适合于开发/安全研究)
Android15系统定制自定义系统服务的完整流程及代码实现
Android应用Root检测通杀篇(ROM定制过Root/Hook等检测)
Android10以上定制版手机+移动端智能调试分析软件(VIP试用版)
从零定制Android15:修改Build.prop与内核态绕过设备指纹检测
Android10至16系统定制中实现同时打印JNI(Native)堆栈和Java堆栈
Android Root研究篇
KernelSU vs Magisk对比
搭建云手机(无需Root权限)
Android Root攻防对抗思路
Android Root研究(深入浅出)
使用Magisk+riru实现全局改机
Root检测绕过(文件系统虚拟化)
Android Root检测和绕过(浅析)
Android/Linux Root分析与研究
Android获取Root权限的通用方法
基于chroot的内核级绕过越狱检测
AOSP源码定制-对root定制的补充
AOSP Android10定制su隐藏root
Root和隐藏(Magisk+Ruru+LSPosed)
KernelSU Android上基于内核的Root方案
[深入篇]开发超级Root权限后台服务进程实战
KernelSU全面解析:安卓内核级Root解决方案
定制Android系统(干掉Root检测和Frida检测)
Android10以上系统定制Root权限(隐藏Root权限)
Riru&Edxposed学习研究(一)手把手安装Edxposed
干货|Android免Root最全Hook插件(Hook任意App)
SKRoot-SuperKernelRoot-Linux内核级完美隐藏RooT
Android应用Root检测通杀篇(ROM定制过Root/Hook等检测)
Cygwin下ndk standalone版本的交叉编译环境搭建(Root研究)
Riru&Edxposed学习研究(二)手把手编译Riru和Edxposed工程源码
Riru&Edxposed学习研究(三)免Magisk使用adb命令安装Edxposed
Riru&Edxposed学习研究(四)Magisk(面具)源码下载编译详细实战教程
FakeXposed最强屏蔽Xposed、Root检测,自定义maps、文件重定向等支持Android5~14
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:哆啦安全 云天实验室 云天实验室《Android安全研究神器 | 移动渗透测试利器》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论