Android 渗透测试学习手册六玩转 SQLite

《Android 渗透测试学习手册(六)玩转 SQLite》要点:
本文介绍了Android 渗透测试学习手册(六)玩转 SQLite,希望对您有用。如果有疑问,可以联系我们。

本文由 看雪学院 飞龙使者 编译

原文:Learning Pentesting for Android Devices

作者:Aditya Gupta

SQLite 是一个开源数据库,具有许多类似于其他关系数据库(如 SQL)的功能. 如果你是应用程序开发人员,你可能还会注意到 SQLite 查询看起来或多或少像 SQL 一样. 在 Android 中选择 SQLite 的原因是其内存占用较低. Android 开发者喜欢 SQLite 的原因是它不需要设置或配置数据库,并且可以在应用程序中直接调用.

6.1 深入理解 SQLite

正如我们在上一章中看到的,SQLite 数据库默认在 Android 中存储在/data/data/[package name]/databases/位置,扩展名为.db文件(在 Android 的大多数情况下) . 现在,在我们更深入地探讨 SQLite 漏洞之前,我们应该清楚地了解 SQLite 语句和一些基本的命令

分析使用 SQLite 的简单应用

在这里,我们有一个基本的 Android 应用程序,它支持用户的登录和注册,并在后端使用 SQLite. 遵循以下步骤:

  1. 让我们运行应用程序并分析它创建的数据库. 你可以从http://attify.com/lpfa/vulnsqlite.apk下载漏洞应用程序. 用于创建数据库的代码示例如以下屏幕截图所示:

  2. 这意味着我们有七个字段,名称为id(integer),firstName (text),lastName (text),email (text),phoneNumber (text),username (text),和 password (text).tableName字段之前叫做USER_RECORDS.

  3. 让我们现在拜访 adb shell 并检查数据库.我们可以使用 SQLite 浏览器拜访 SQLite 文件,我们在上一章中使用了它,或者我们可以使用命令行工具sqlite3.对于整个这一章,我们将使用名为sqlite3的命令行工具,它存在于大多数 Android设 备中.如果你的 Android 设备中不存在它,你可以使用 Play 商店中提供的 BusyBox 应用程序进行安装.

Android 渗透测试学习手册(六)玩转 SQLite

  1. 所以,让我们继续分析数据库.我们需要做的第一件事是使用 adb shell 进入设备.

  1. 下一步是拜访/data/data/[package-name]目录的位置并查找databases文件夹.一旦我们进入了数据库文件夹,我们会注意到各种文件.现在,SQLite 数据库的文件格式大多是前面提到的.db,但它们也可以为.sqlite,.sqlitedb或开发人员在创建应用程序时指定的任何其他扩展名.如果你记得上一章中的练习,在查找数据库文件时,这正是寻找其他扩展名的时候,例如.sqlite.

  1. 还有其他可用的选项可用于渗透测试. 其中之一是.output命令. 这会自动将之后的 SQL 查询的输出保存到指定的文件,我们可以稍后拉取,而不是在屏幕上显示. 一旦我们将输出保存在文件中,并且想返回屏幕显示模式,我们可以使用.output命令并将其设置为stdout,这将再次在终端上显示输出 .

    在SQLite中,.dump将创建一个列表,包括从数据库创建到现在为止所执行的所有 SQL 操作. 以下是在当前数据库上运行的命令的输出的屏幕截图:

  2. 现在,我们可以使用以下命令使用sqlite3打开数据库:

    sqlite3 [databasename]11

    在这种情况下,由于数据库名称是weak-db,我们可以简单地输入sqlite3 vulnerable-db打开它. 我们也可以在给定时间使用sqlite3打开多个数据库. 要查看加载的当前数据库,我们可以键入.databases命令列出我们当前的数据库,如下面的截图所示:

  3. 现在,我们打开数据库时要做的第一件事是查看数据库中包括的表. 表的列表可以由.tables显示,如以下屏幕截图所示:

Android 渗透测试学习手册(六)玩转 SQLite

Android 渗透测试学习手册(六)玩转 SQLite

  1. 接下来我们需要做的是通过执行SELECT查询来查看列字段中的数据.

    注意

    另一个需要注意的重要事情是,SQL 中使用的大多数查询对 SQLite 仍然有效.

  1. 使用应用程序并为数据库填充一些信息. 接下来,为了查询并查看USER_RECORDS表,通过通配符*指定所有内容,我们可以使用以下命令:

    SELECT * from USER_RECORDS;11

    运行上述命令将产生类似于如下所示的输出:

  1. 正如我们在这里可以看到的,有两个名称为USER_RECORDS和android_metadata的表. 由于我们对USER_RECORDS更感兴趣,我们将首先继续查看表中的各个列,稍后我们将转储列字段中的数据. 为了查看有关表的更多信息,例如列字段,我们可以使用.schema命令,如下面的截图所示:

Android 渗透测试学习手册(六)玩转 SQLite

Android 渗透测试学习手册(六)玩转 SQLite

  1. 现在,sqlite3也给了我们改变输出格式,查看额外信息以及所需信息的自由. 所以,让我们继续,将查看mode设置为column,将header设置为on.

Android 渗透测试学习手册(六)玩转 SQLite

  1. 让我们再次运行相同的查询并检查输出,如下面的截图所示:

Android 渗透测试学习手册(六)玩转 SQLite

  1. 此外,所有这些操作都可以从终端执行,而不是进入 shell,然后启动sqlite3二进制. 我们可以直接向 adb shell 传递我们的命令并获得输出,如下面的截图所示:

Android 渗透测试学习手册(六)玩转 SQLite

6.2 平安漏洞

Web 应用程序和移动应用程序中最常见的漏洞之一是基于注入的漏洞. 如果按原样使用用户提供的输入,或动态 SQL 查询的保护很少并且不足够,SQLite 也会产生注入漏洞.

让我们来看看用于查询应用程序中的数据的SQL查询,如下所示:

String getSQL = "SELECT * FROM " + tableName + " WHERE " + username + " = '" + uname + "' AND " + password + " = '" + pword + "'";Cursor cursor = dataBase.rawQuery(getSQL,null12341234

在前面的 SQL 查询中,uname和pword字段从用户输入直接传递到 SQL 查询中,然后使用rawQuery办法执行. rawQuery办法实际上只是执行任何传递给它的 SQL 查询.另一个类似于rawQuery的办法是execSQL办法,它和rawQuery一样脆弱.

前面的 SQL 查询用于验证用户的登录凭据,然后显示其在注册期间使用的信息.所以,这里的 SQL 引擎检查用户名和暗码是否匹配在一行,如果是这样,它返回一个布尔值TRUE.

然而,想象一个场景,我们可以修改我们的输入,而不是正常的文本输入,它似乎是应用程序的 SQL 查询的一部分,然后又返回TRUE,从而授予我们身份.事实证明,如果我们把用户名/密码设为1'or'1'='1或任何类似总是TRUE的查询,我们就破解了应用程序的身份验证机制,这反过来是一个很大的平安风险.另外,请注意,由于使用单引号,在前面输入中使用的OR将在SQL查询中被视为OR.这将闭合用户名字段,并且我们的其余输入将解释为 SQL 查询.你可以从http://attify.com/lpfa/sqlite.apk下载漏洞应用程序.这里是攻击情况下的 SQL 查询:

SELECT * FROM USER_RECORDS WHERE USERNAME = '1'or'1'='1' AND PASSWORD = 'something'1212

如果应用程序检测到登录成功,它会显示一个弹出框,其中包括用户信息,就像在 SQLite 身份验证绕过攻击的情况下一样,如下面的屏幕截图所示:

Android 渗透测试学习手册(六)玩转 SQLite

我们还可以在输入结尾处附加双连字符(-),来使 SQL 查询的其余部分仅解释为对应用程序的注释.

让我们看看另一个应用程序,这一次,利用 drozer,我们以前使用的工具,来利用 SQLite 注入漏洞.

这个应用程序是一个待办事项,用户可以保存他们的笔记; 该笔记存储在名为todotable.db的数据库中,并在应用程序中通过内容供应器拜访. 遵循以下步骤:

  1. 让我们继续,并启动 drozer,查看这个应用程序的数据库,如下面的命令所示.软件包名称为com.attify.vulnsqliteapp.

    adb forward tcp:31415 tcp:31415drozer console connect1212
  2. 一旦我们进入了 Drozer 的控制台,我们就可以运行finduri扫描器模块来查看所有内容 URI 和可拜访的 URI,如下所示:

    dz> run scanner.provider.finduris -a com.attify.vulnsqliteappScanning com.attify.vulnsqliteapp...Unable to Query content://com.attify.vulnsqliteapp.contentprovider/Able to Query content://com.attify.vulnsqliteapp.contentprovider/todosAble to Query content://com.attify.vulnsqliteapp.contentprovider/todos/Unable to Query content://com.attify.vulnsqliteapp.contentproviderAccessible content URIs: content://com.attify.vulnsqliteapp.contentprovider/todos content://com.attify.vulnsqliteapp.contentprovider/todos/123456789101112131415161718123456789101112131415161718
  3. 接下来,我们将使用 Drozer 中的注入扫描程序模块检查应用程序中基于注入的漏洞,如下所示:

  4. dz> run scanner.provider.injection -a com.attify.vulnsqliteappScanning com.attify.vulnsqliteapp...Not Vulnerable: content://com.attify.vulnsqliteapp.contentprovider/ content://com.attify.vulnsqliteapp.contentproviderInjection in Projection: No vulnerabilities found.Injection in Selection: content://com.attify.vulnsqliteapp.contentprovider/todos content://com.attify.vulnsqliteapp.contentprovider/todos/123456789101112123456789101112
  1. 所以,现在我们可以使用可选参数来查询这些内容供应器,例如1 = 1,它将在所有情况下返回TRUE,如下面的截图所示:

Android 渗透测试学习手册(六)玩转 SQLite

  1. 此外,我们可以使用 Drozer 模块app.provider.insert,并通过指定参数和要更新的数据类型,将我们自己的数据插入 SQLite 数据库. 让我们假设我们要在数据库中添加另一个to-do条目. 因此,我们需要四个字段:id,category,summary和description,数据类型分别为integer,string,string和string.

  2. 因此,完整的语法将变成:

    run app.provider.insert content://com.attify.vulnsqliteapp.contentprovider/todos/ --integer _id 2 --string category urgent --string summary "Financial Summary" --string description "Submit Annual Report" 1234512345

    成功执行后,它将显示完成消息,如以下屏幕截图所示:

Android 渗透测试学习手册(六)玩转 SQLite

总 结

在本章中,我们深入了解了 SQLite 数据库,甚至在应用程序中发现了漏洞,并利用 Drozer 来利用它们. SQLite 数据库应该是渗透测试人员关注的主要问题之一,因为它们包括了应用程序的大量信息. 在接下来的章节中,我们将了解一些不太知名的 Android 利用技术.

编程之家PHP培训学院每天发布《Android 渗透测试学习手册(六)玩转 SQLite》等实战技能,PHP、MYSQL、LINUX、APP、JS,CSS全面培养人才。

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


文章浏览阅读1.3k次。在 Redis 中,键(Keys)是非常重要的概念,它们代表了存储在数据库中的数据的标识符。对键的有效管理和操作是使用 Redis 数据库的关键一环,它直接影响到数据的存取效率、系统的稳定性和开发的便利性。本文将深入探讨 Redis 中键的管理和操作,包括键的命名规范、常用的键操作命令以及一些最佳实践。我们将详细介绍如何合理命名键、如何使用键的过期和持久化特性、如何批量删除键等技巧,旨在帮助读者更好地理解并灵活运用 Redis 中的键,从而提高数据管理和操作的效率和可靠性。
文章浏览阅读3.3k次,点赞44次,收藏88次。本篇是对单节点的应用,但从中我们也能推断出一些关于集群的应用,不过大多数公司能搞个主从就已经是不错了,所以你能学会这个已经算是很有用了,关于ES,博主前面也讲过一些基础应用,创建一个工具类利用ES的数据模型进行存储就可以达到一个canal同时对Redis和ES的同步,如果担心出问题,可以把Canal搞成集群的形式,这个后续有时间博主再给大家做讲解。今天就到这里了,觉得不错就支持一下吧。_canal redis
文章浏览阅读8.4k次,点赞8次,收藏18次。Spring Boot 整合Redis实现消息队列,RedisMessageListenerContainer的使用,Pub/Sub模式的优缺点_springboot redis 消息队列
文章浏览阅读978次,点赞25次,收藏21次。在Centos上安装Redis5.0保姆级教程!_centos7 安装redis5.0服务器
文章浏览阅读1.2k次,点赞21次,收藏22次。Docker-Compose部署Redis(v7.2)主从模式首先需要有一个redis主从集群,才能接着做redis哨兵模式。_warning: sentinel was not able to save the new configuration on disk!!!: dev
文章浏览阅读2.2k次,点赞59次,收藏38次。合理的JedisPool资源池参数设置能为业务使用Redis保驾护航,本文将对JedisPool的使用、资源池的参数进行详细说明,最后给出“最合理”配置。_jedispool资源池优化
文章浏览阅读1.9k次。批量删除指定前缀的Key有两中方法,一种是借助 redis-cli,另一种是通过 SCAN命令来遍历所有匹配前缀的 key,并使用 DEL命令逐个删除它们。_redis删除前缀的key
文章浏览阅读890次,点赞18次,收藏20次。1. Redis时一个key-cakye的数据库,key一般是String类型,不过value类型有很多。eg.String Hash List Set SortedSet (基本) | GEO BitMap HyperLog (特殊)2.Redis为了方便学习,将操作不同类型的命令做了分组,在官网可以进行查询。
文章浏览阅读1.1k次,点赞19次,收藏26次。若不使用Redisson,而是用synchronized(this),此时会造成对服务器的加锁,若开始大量查询ID为1的商品,每台机器都会先跑一遍加个锁,然后在查询ID为2的数据,此时需要等待ID为1的锁释放,所以需要将this对象调整为全局商品ID。若在执行bgsave命令时,还有其他redis命令被执行(主线程数据修改),此时会对数据做个副本,然后bgsave命令执行这个副本数据写入rdb文件,此时主线程还可以继续修改数据。在当前redis目录下会生成aof文件,对redis修改数据的命令进行备份。
文章浏览阅读1.5k次,点赞39次,收藏24次。本文全面剖析Redis集群在分布式环境下的数据一致性问题,从基础原理到高级特性,涵盖主从复制、哨兵模式、持久化策略等关键点,同时也分享了关于监控、故障模拟与自适应写一致性策略的实践经验。_redis集群一致性
文章浏览阅读1k次。RDB因为是二进制文件,在保存的时候体积也是比较小的,它恢复的比较快,但是它有可能会丢数据,我们通常在项目中也会使用AOF来恢复数据,虽然AOF恢复的速度慢一些,但是它丢数据的风险要小很多,在AOF文件中可以设置刷盘策略,我们当时设置的就是每秒批量写入一次命令。AOF的含义是追加文件,当redis操作写命令的时候,都会存储这个文件中,当redis实例宕机恢复数据的时候,会从这个文件中再次执行一遍命令来恢复数据。:在Redis中提供了两种数据持久化的方式:1、RDB 2、AOF。
文章浏览阅读1k次,点赞24次,收藏21次。NoSQL(No only SQL)数据库,泛指非关系型数据库,实现对于传统数据库而言的。NoSQL 不依赖业务逻辑方式进行存储,而以简单的 key-value 模式存储。因此大大增加了数据库的扩展能力。不遵循SQL标准不支持ACID远超于SQL的性能Redis是当前比较热门的NOSQL系统之一,它是一个开源的使用ANSI c语言编写的key-value存储系统(区别于MySQL的二维表格的形式存储。
文章浏览阅读988次,点赞17次,收藏19次。在上面的步骤中,我们已经开启了 MySQL 的远程访问功能,但是,如果使用 MySQL 管理工具 navicat 连接 MySQL 服务端时,还是可能会出现连接失败的情况。在实际工作中,如果我们需要从其他地方访问和管理 MySQL 数据库,就需要开启 MySQL 的远程访问功能并设置相应的权限。这对于我们的工作效率和数据安全都有很大的帮助。通过查看 MySQL 用户表,我们可以看到’host’为’%’,说明 root 用户登录 MySQL 的时候,可以允许任意的 IP 地址访问 MySQL 服务端。
文章浏览阅读956次。Redis Desktop Manager(RDM)是一款用于管理和操作Redis数据库的图形化界面工具。提供了简单易用的界面,使用户能够方便地执行各种Redis数据库操作,并且支持多个Redis服务器的连接_redisdesktopmanager安装包
文章浏览阅读1.9k次,点赞52次,收藏27次。缓存击穿指的是数据库有数据,缓存本应该也有数据,但是缓存过期了,Redis 这层流量防护屏障被击穿了,请求直奔数据库。缓存穿透指的是数据库本就没有这个数据,请求直奔数据库,缓存系统形同虚设。缓存雪崩指的是大量的热点数据无法在 Redis 缓存中处理(大面积热点数据缓存失效、Redis 宕机),流量全部打到数据库,导致数据库极大压力。
文章浏览阅读1.2k次。一次命令时间(borrow|return resource + Jedis执行命令(含网络) )的平均耗时约为1ms,一个连接的QPS大约是1000,业务期望的QPS是50000,那么理论上需要的资源池大小是50000 / 1000 = 50个,实际maxTotal可以根据理论值合理进行微调。JedisPool默认的maxTotal=8,下面的代码从JedisPool中借了8次Jedis,但是没有归还,当第9次(jedisPool.getResource().ping())3、发生异常可能的情况。_redis.clients.jedis.exceptions.jedisconnectionexception: could not get a res
文章浏览阅读1k次,点赞27次,收藏18次。在这篇文章中,你将了解到如何在 CentOS 系统上安装 Redis 服务,并且掌握通过自定义域名来访问 Redis 服务的技巧。通过使用自定义域名,你可以方便地管理和访问你的 Redis 数据库,提高工作效率。无论你是开发者、系统管理员还是对 Redis 感兴趣的读者,这篇文章都会为你提供清晰的指导和实用的技巧。阅读本文,轻松搭建自己的 Redis 服务,并体验自定义域名带来的便捷!_redis怎么自定义域名
文章浏览阅读1.1k次,点赞15次,收藏18次。我们post请求,拦截器要预先读取HtppServletRequest里面的body的数据,是通过io的方式,都知道io读取完毕之后,之前的数据是变为null的,但是,当我么后面的接口来委派的时候,也是通过io读取body。我们要考虑一个事情,就是我们要验证数据的重复提交: 首先第一次提交的数据肯定是要被存储的,当而第二次往后,每次提交数据都会与之前的数据产生比对从而验证数据重复提交,我们要具体判断数据是否重复提交的子类。发现数据是成功存入的,剩余7s过期,在10s之内,也就是数据没过期之前,在发送一次。_json.parseobject(str, clazz, auto_type_filter);
文章浏览阅读3.9k次,点赞3次,收藏7次。PHP使用Redis实战实录系列:我们首先检查$redis->connect()方法的返回值来确定是否成功连接到Redis服务器。如果连接失败,我们可以输出相应的错误信息。如果连接成功,我们再执行一些操作,如$redis->set()、$redis->get()等,并检查每个操作的返回结果来判断是否发生了异常。_php redis
文章浏览阅读1.5w次,点赞23次,收藏51次。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis 是一个高性能的key-value数据库。redis的出现,很大程度补偿了memcached这类key/value存储的不足,在部 分场合可以对关系数据库起到很好的补充作用。_redisdesktopmanager下载