Etiquetas

Volcado de memoria en Android para buscar contraseñas

/* Actualización:

Solo siendo root

$ ./adb pull /data/data/com.mcu.iVMS/databases/database.hik
/data/data/com.mcu.iVMS/databases/data...lled. 5.4 MB/s (40960 bytes in 0.007s)

Con Sqlite Reader se pueden leer los datos de database.hik

En la tabla deviceinfo aparecen Devicename,DeviceLoginName,DeviceLoginPwd. etc...

68A6d//JEfBsIj7TR27gdF7vd1uyXInMmVlHZ9/RYPs=

guest

UYU7Uys7pVKf1wCIph3jOg==

guest4500

 fin actualización */

 

1-Volacado de memoria con Fridump:

git clone https://github.com/Nightbringer21/fridump.git 

https://github.com/Nightbringer21/fridump

En el directorio donde está frida:

python3  fridump.py -U -s -v com.mcu.iVMS

cd dump

cat strings.txt | grep -a -A 1 -B 1 'guest'

 

Soluciones a problemas comunes:

-Actualicé el servidor en el dispositivo Android:

frida-server-15.1.27-android-arm64

-Activar el environment de Python:

$ source activate

-Ser root

-En mi segundo intento, no hubo manera de hacerlo funcionar.( ?? )

 

Resultado:

(frida_env) lolo@pink:~/environment2/frida_env/bin/dump
$ cat strings.txt | grep -a -A 1 -B 1 'guest'
Hangzhou, China
guest
guest4500

La contraseña que no se enseña por los asteriscos es: guest4500


2- Realizar una copia de respaldo de todo el sistema:

$ ./adb backup -all -f backup_all.ab

ó de una App:

$ ./adb backup  -f backup_ivms1.ab -apk com.mcu.iVMS
WARNING: adb backup is deprecated and may be removed in a future release
Now unlock your device and confirm the backup operation...

Soluciones a problemas comunes:

Encriptar cuando el dispositivo Android te lo indique. En mi caso 1234 como se ve abajo al desencriptar con abe.jar de lo contrario no dará error.

https://github.com/nelenkov/android-backup-extractor

lolo@pink:~/droid_backup
$ java -jar abe.jar unpack backup_ivms1.ab backup_ivms1.tar 1234
Calculated MK checksum (use UTF-8: true): DA167D666D29E3AABA499F00CE912FCA233B04FEF3D6A3DB8DAA50E66139E5C1
3%
1024 bytes written to backup_ivms1.tar.

El resultado:

Para la App ivms fue negativo, no descargo nada.

Para la copia completa:

varias Apps que permitan los backups conteniendo sus carpetas con .db

Etiquetas:

Entradas populares