Android diva 分析(全)
Android-DIVA分析
new blog:http://showmeshell.top/2018/08/31/Android-DIVA%E5%88%86%E6%9E%90/
1. Insecure Logging
主要是由于app代码中将敏感信息输出到app的logcat中,查看app记录的logcat
adb shell ps| grep -i diva
adb shell logcat | grep 1012
在diva中输入数字1111222233334444 测试:输出纯文本显示应用程序的信息
2.Hardcoding Issues
使用了硬编码的方式,导致存在一定的安全风险
3.Insecure Data Storage-Part1
不安全的数据存储也是App常见的安全问题之一,主要有三种方式:
1,将敏感数据保存到配置文件中;
2,将敏感数据保存在本地的sqlite3数据库中;
3,将敏感数据保存在临时文件或者sd卡中。源码:InsecureDataStorage1Activity
去/data/data/jakhar.aseem.diva(包的名称) shared_prefs 文件夹中找到:-检查内容:-打开.xml文件,找到用户先前引入的凭据:SharedPreferences类存储的数据会以.xml的形式存储在/data/data/apppackagename/shared_prefs
4.Insecure Data Storage-Part2
用户的敏感信息存储到本地的数据库中,一般app对应的数据库目录:/data/data/apppackagename/databases
打开文件夹,有许多不同的数据库。
我们可以尝试其中任何一个,直到找到有趣的信息 但是,为了简单起见,我们直接转到ids2:- Android使用 sqlite 数据库管理系统:- ids2数据库中有2个表:- 从表myuser中选择所有内容,我们找到用户引入的凭据
5.Insecure Data Storage-Part3
/data/data/jakhar.aseen.diva/零时数据 uinfotemp
6.Insecure Data Storage-Part4
原目录查看,InsecureDataStorage4Activity 发现函数getExternalStorageDirectory()及uinfo.txt
7.Input Validation Issues-Part1
//SQLInjectionActivity
package jakhar.aseem.diva;
import android.database.Cursor;
import android.database.sqlite.SQLiteDatabase;
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;
import android.util.Log;
import android.view.View;
import android.widget.EditText;
import android.widget.Toast;
public class SQLInjectionActivity extends AppCompatActivity {
private SQLiteDatabase mDB;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
try {
mDB = openOrCreateDatabase("sqli", MODE_PRIVATE, null);
mDB.execSQL("DROP TABLE IF EXISTS sqliuser;");
mDB.execSQL("CREATE TABLE IF NOT EXISTS sqliuser(user VARCHAR, password VARCHAR, credit_card VARCHAR);");
mDB.execSQL("INSERT INTO sqliuser VALUES ('admin', 'passwd123', '1234567812345678');");
mDB.execSQL("INSERT INTO sqliuser VALUES ('diva', 'p@ssword', '1111222233334444');");
mDB.execSQL("INSERT INTO sqliuser VALUES ('john', 'password123', '5555666677778888');");
}
catch(Exception e) {
Log.d("Diva-sqli", "Error occurred while creating database for SQLI: " + e.getMessage());
}
setContentView(R.layout.activity_sqlinjection);
}
public void search(View view) {
EditText srchtxt = (EditText) findViewById(R.id.ivi1search);
Cursor cr = null;
try {
cr = mDB.rawQuery("SELECT * FROM sqliuser WHERE user = '" + srchtxt.getText().toString() + "'", null);
StringBuilder strb = new StringBuilder("");
if ((cr != null) && (cr.getCount() > 0)) {
cr.moveToFirst();
do {
strb.append("User: (" + cr.getString(0) + ") pass: (" + cr.getString(1) + ") Credit card: (" + cr.getString(2) + ")\n");
} while (cr.moveToNext());
}
else {
strb.append("User: (" + srchtxt.getText().toString() +") not found");
}
Toast.makeText(this, strb.toString(), Toast.LENGTH_SHORT).show();
}
catch(Exception e) {
Log.d("Diva-sqli", "Error occurred while searching in database: " + e.getMessage());
}
}
}
//Java源代码通知有关存储用户凭据的SQLite数据库:
/*检查前一句,最后一个字符串由两部分组成。第一部分对应于无效用户,但它使用OR二进制操作链接到第二部分。第二部分始终为“true”('2'='2'),因此整个字符串也是“true”(0 OR 1 = 1)。剩下的两个连字符 - 意味着连字符后的所有内容都被视为注释。*/
8.Input Validation Issues-Part2
应用程序要求提供URL,例如http://showmeshell.top浏览器按预期打开此博客的网站:- 但是,这种情况可用于使用不同的协议来利用浏览器HTTP,例如File协议,用于读取内部文件系统的内容,甚至是外部存储器中的数据。- 从上一个练习中,我们在此路径中存储了一些凭据:- 使用File protocole,可以实现对uinfo文件的访问:- 将File文件路径作为输入,显示uinfo文件的内容:- 在同样,此输入验证漏洞可用于访问外部存储上的数据。例如,假设SD卡上有一个密钥文件:Key.txt
9.Access Control Issues-Part 1
可在AndroidManifest.xml中查看文件中暴露的activity组件
10.Access Control Issues-Part 2
11.Access Control Issues-Part 3
12.Hardcoding Issues 2
divajni.c 保存原始C语言程序,其中供应商密钥存储为常量(#define VENDORKEY“olsdfgad; lh”),后来与函数 strncmp进行比较:最重要的结论是要记住开发人员经常将密钥硬编码到 .so 文件中
13.Input Validation Issues 3
要了解应用程序内部发生的情况,检查logcat命令生成的日志非常方便。找到signal(SIGSEGV=segmentation fault ,or segmentation violation),出现内存保护的现象。
adb shell ps | grep -i diva
adb shell logcat | grep (pid)
找到Java source =InputValidation3Activity.java
找到 divajni.c 找到关于CODESIZEMATX的定义, app/src/main/jni
问题函数:strcpy没有检查目标缓冲区的大小足以容纳源参数,输入超过20个数后,灰造成内存损坏或者缓冲区溢出。