android-exploitme(六):基礎加密
阿新 • • 發佈:2019-02-09
這次我們看看程式在裝置上儲存了什麼敏感資訊
(server-env)sartre:AndroidLabs2 maxim$ adb shell # cd /data/data/com.securitycompass.androidlabs.base # ls lib shared_prefs # cd shared_prefs # ls preferences.xml com.securitycompass.androidlabs.base_preferences.xml
檢視preferences.xml檔案如下:
# cat preferences.xml <?xml version='1.0' encoding='utf-8' standalone='yes' ?> <map> <string name="serverpass">password</string> <string name="localpasssalt">+tm+vXQuNL01T2caEwlG6XBj9ZrS9w5XfVk5EFV15SQ= </string> <string name="serveruser">jdoe</string> <boolean name="firstrun" value="false" /> <string name="localpasshash">vt8O7P2Y1dPYjRJG/F7QXADtpc2/DxlvpYya2b/oSIA= </string> </map>
可以看到他明文儲存了使用者名稱和密碼,這種敏感資料應該加密儲存,或者不儲存,由backend驗證