Kye0m's Security

[Diva] Access control issues(Part3)

Kye0m — Sun, 2 Oct 2022 15:04:19 +0900

Diva - Access Control Issues(part3)

목적 : 이것은 개인용 노트 앱이다. PIN을 한 번 만들고 올바른 PIN을 입력한 후 노트에 액세스할 수 있습니다. 이제 PIN을 모르는 상태에서 앱 외부에서 개인 노트에 액세스해 보십시오.

힌트 : 앱의 구성요소는 제대로 보호되지 않은 경우 다른 앱이나 사용자로부터 액세스할 수 있으며 일부는 외부 입력을 허용할 수도 있습니다. 활동, 서비스, 콘텐츠 공급자와 같은 구성 요소는 이러한 경향이 있습니다.

PIN번호를 모르는 상태에서 NOTE에 엑세스하면 풀 수 있는 문제이다.

해당 위치에 옳바른 핀번호를 입력하면 노트에 들어있는 정보가 나타나게 되지만,

그렇지 않을 경우 아래와 같이 오류 메세지가 나오게 된다.

잚못된 핀번호를 입력했을 경우

문제풀이

AndroidManifest.xml 파일을 열어보면 다음과 같은 구문을 확인할 수 있다.

<provider android:authorities="jakhar.aseem.diva.provider.notesprovider" android:enabled="true" android:exported="true" android:name="jakhar.aseem.diva.NotesProvider"/>

jakhar.aseem.diva.provider.notesprovider 의 exported값이 true로 설정되어있는 것을 확인할 수 있다.

android가 true로 설정되어 있을 경우, 다른 애플리케이션에서 활동에 엑세스 할 수 있다.

이 취약점을 이용해서, PIN번호를 모르지만 notes에 들어있는 정보에 접근할 것이다.

jakhar.aseem.diva.NotesProvider에 들어가보면 notes정보가 담겨있는 위치가 하드코딩되어있다.

exported값이 true로 되어있는 점을 이용해서 adb에서 해당 파일을 실행할것이다.

adb 명령어를 사용하여 해당 경로를 실행시켜 보겠다.

명령어를 통해서 노트 안에 들어있는 정보를 핀번호 없이 실행시킨 것을 확인할 수 있다.

[Diva] Hardcoding issues(Part2)

Kye0m — Sat, 1 Oct 2022 16:59:46 +0900

Diva - Hardcoding issues(part2)

이번문제도 특정 key값을 입력하여 푸는 문제이다.

[풀이과정]

access버튼을 눌렀을 때, 파일함수 후킹을 통해 Hardcode2Activity.access에서 함수가 실행되는 것을 알 수 있다.

  public void access(View view) {
        EditText hckey = (EditText) findViewById(R.id.hc2Key);
        if (this.djni.access(hckey.getText().toString()) != 0) {
            Toast.makeText((Context) this, (CharSequence) "Access granted! See you on the other side :)", 0).show();
        } else {
            Toast.makeText((Context) this, (CharSequence) "Access denied! See you in hell :D", 0).show();
        }
    }
}

jadx-gui를 통해서 확인해보면, this.djni.access에 String을 입력했을 때, 참이되어서 나오면

통과할 수 있는 것을 확인할 수 있다.

public class DivaJni {
    private static final String soName = "divajni";
    public native int access(String str);
    public native int initiateLaunchSequence(String str);
    static {
        System.loadLibrary(soName);
    }
}

divajni 라이브러리를 호출하는것을 알 수 있다.

libdivanji.so를 분석을 위해, adb pull 명령어를 통해서 데스크탑으로 옮겨왔다.

ida로 분석을 해보면, Java_jakhar_aseem_diva_DivaJni_access에서 'olsdfgad;lh'와 memcmp를 한 결과를 반환한다.

비교하는 문자열이 하드코딩 되었기 때문에 해당 문자열을 입력하면 문제를 해결할 수 있다.

[Diva] - Hardcoding issues(Part1)

Kye0m — Thu, 29 Sep 2022 14:55:51 +0900

Hardcoding issues Part1

목적 : 하드코딩된 항목과 위치를 확인

힌트 : 개발자들은 때때로 민감한 정보를 하드코딩합니다.

문제풀이

jakhar.aseem.diva.HardcodeActivity 에 들어가보면

 public void access(View view) {
        EditText hckey = (EditText) findViewById(R.id.hcKey);
        if (hckey.getText().toString().equals("하드코딩된 key값")) {
            Toast.makeText(this, "Access granted! See you on the other side :)", 0).show();
        } else {
            Toast.makeText(this, "Access denied! See you in hell :D", 0).show();
        }
    }

위와 같은 구문이 있다.

getText().toString()을 통해 값을 입력받고, "하드코딩된 key값"과 같은지 equals를 통해 비교한다.

개발자가 string값을 직접 하드코딩하였기 때문에, 위와 같은 코드 취약점이 발생하였다.

"하드코딩된 키 값"을 입력하고 ACCESS버튼을 누르면 성공적으로 문제를 풀 수 있다.

[Diva] -Insecure Logging

Kye0m — Thu, 29 Sep 2022 12:42:23 +0900

Diva - Insecure Logging

환경구성

https://github.com/tjunxiang92/Android-Vulnerabilities

GitHub - tjunxiang92/Android-Vulnerabilities: Covers Top 10 OWASP Mobile Vulnerabilities

Covers Top 10 OWASP Mobile Vulnerabilities. Contribute to tjunxiang92/Android-Vulnerabilities development by creating an account on GitHub.

github.com

Diva 역시도 안드로이드 취약점 분석을 위한 모바일 어플리케이션이다.

위 깃허브 링크에서 Diva를 다운받도록 한다.

Diva를 다운 후, adb install을 이용하여 설치하려고 하면, 설치가 되지 않는다.

어플리케이션에 대한 서명이 되지 않았기 때문인데, apk easy tool을 통해서 어플리케이션에 서명해주면, 설치할 수 있다.

APK Easy Tool을 통한 서명 진행

성공적으로 설치가 완료되었다.

1. Insecure Logging

힌트 : insecure logging은 개발자가 의도적으로 또는 의도적이지 않게 자격증명, 세션 , ID, 제무 세부 정보등과 같은 중요한 정보를 기록할 때 발생합니다.

목적 : 로그가 어디서찍히는지 코드를 찾아내라

이 문제는 옳바른 카드 번호를 맞추는 것이 아니라 어느 코드에서 로그가 찍히는 것을 알아내는 것이 목표이다.

우선 ps명령어를 통해서 어플리케이션의 설치경로를 알아낸다.

힌트에서 로그를 확인해보라고 했으니, 로그를 먼저 확인해보자.

 logcat | grep "diva"

텍스트에 123123을 넣고 입력했을 때, 다음과 같은 로그가 찍히는 것을 확인할 수 있다.

로그에 찍힌 내용을 바탕으로 어떤 메소드에서 실행되는지 찾아가 보았다.

jadx를 통해서 로그문을 검색했다.

에러로그로 검색

    public void checkout(View view) {
        EditText cctxt = (EditText) findViewById(R.id.ccText);
        try {
            processCC(cctxt.getText().toString());
        } catch (RuntimeException e) {
            Log.e("diva-log", "Error while processing transaction with credit card: " + cctxt.getText().toString());
            Toast.makeText((Context) this, (CharSequence) "An error occured. Please try again later", 0).show();
        }
    }

jakhar.aseem.diva.LogActivity.checkout()을 통해서 로그가 찍히고 있음을 알 수 있다.

[Uncrackable1]

Kye0m — Thu, 29 Sep 2022 01:40:17 +0900

Uncrackable1

Uncrackable은owasp에서 제공하는 앱취약점 공부용 모바일 어플리케이션이다.

Uncrackable1.apk를 다운 받은 후, Nox 에뮬레이터에 설치하면 위와 같은 화면이 나온다.

Rooting이 감지되었다고 뜨는 것을 보아, 우선 해당 과정을 우회하는 것이 먼저인듯 하다.

ps | grep "uncrable"명령어를 이용하여 설치된 경로를 확인하여준다.

위에서 얻은 경로를 통해 프리다를 사용할 것이다.

https://github.com/0xdea/frida-scripts 에서 제공하는 파일함수 후킹 코드를 통해서

어떤 함수가 실행되는지 알아보면,

onCreate()와 verify()가 실행되는 것을 알 수 있다.

APK Easy Tool로 디컴파일을 진행하여 onCreate부분을 살펴보았다.

    protected void onCreate(Bundle bundle) {
        if (c.a() || c.b() || c.c()) {
            a("Root detected!");
        }

        if (b.a(getApplicationContext())) {
            a("App is debuggable!");
        }
        super.onCreate(bundle);
        setContentView(2130903040);

c클래스의 a와 b,c중에서 하나의 조건만 맞으면 루팅이 되었다고 감지되는 것을 볼 수 있다.

public class c {
    public static boolean a() {
        for (String str : System.getenv("PATH").split(":")) {
            if (new File(str, "su").exists()) {
                return true;
            }
        }
        return false;
    }

    public static boolean b() {
        String str = Build.TAGS;
        return str != null && str.contains("test-keys");
    }


    public static boolean c() {
        for (String str : new String[]{"/system/app/Superuser.apk", "/system/xbin/daemonsu", "/system/etc/init.d/99SuperSUDaemon", "/system/bin/.ext/.su", "/system/etc/.has_su_daemon", "/system/etc/.installed_su_daemon", "/dev/com.koushikdutta.superuser.daemon/"}) {
            if (new File(str).exists()) {
                return true;
            }
        }
        return false;
    }
}

위 조건이 참이되는 것을 막기 위해 프리다 후킹을 사용할 것이다.

실습

1. 루팅탐지 우회

우선 루팅탐지를 우회하는 방식으로 진행해야한다.

1-1. return값을 변조하여 우회하는 방법

c클래스의 a,b,c가 반환하는 값이 모두 false가 되면, 루팅탐지가 되지 않으므로 a,b,c의 반환값을 모두 false로 바꿀 것이다.

console.log("Script loaded successfully ");
Java.perform(function x() {
	console.log("Inside java perform function");
	var my_class = Java.use("sg.vantagepoint.a.c");

	my_class.a.implementation = function (args) {
		console.log("\n0***************************************************");
		return false;
	}
	my_class.b.implementation = function (args) {
		console.log("\n1***************************************************");
		return false;
	}
	my_class.c.implementation = function (args) {
		console.log("\n2***************************************************");
		return false;
	};
});

frida -U -f owasp.mstg.uncrackable1 -l 자바스크립트 --no-pause

프리다를 실행하여 a,b,c함수에 return값을 false로 고정해주면

루팅이 감지되지 않고 정상적으로 들어와지는 것을 알 수 있다.

1-2. system.exit()를 후킹하는 방법

이 방법은 정확히는 루팅탐지를 우회하는 것이 아니라, 루팅탐지가 되더라도 애플리케이션이 종료되지 않는 방법이다.

루팅이 탐지되었을 때, 위 사진의 OK버튼을 누르게 되면, system.exit()가 실행되면서, 앱이 닫히게 된다.

frida를 통해, 해당 system.exit()를 후킹하여, 어플리케이션을 종료하지 않는 스크립트 구문을 작성한다.

console.log("running hook");
Java.perform(function() {
	console.log("script loaded!!");
	var exit = Java.use("java.lang.System");
	exit.exit.implementation = function() {
		console.log("[*] System.exit called");
	}
});

2. Secret Key 얻기

초반에 같이 실행되던 verify부분으로 가보면

public void verify(View view) {
        String str;
        String obj = ((EditText) findViewById(2130837505)).getText().toString();
        AlertDialog create = new AlertDialog.Builder(this).create();
        if (a.a(obj)) {
            create.setTitle("Success!");
            str = "This is the correct secret.";
        } else {
            create.setTitle("Nope...");
            str = "That's not it. Try again.";
        }
        create.setMessage(str);
        create.setButton(-3, "OK", new DialogInterface.OnClickListener() { // from class: sg.vantagepoint.uncrackable1.MainActivity.2
            @Override // android.content.DialogInterface.OnClickListener
            public void onClick(DialogInterface dialogInterface, int i) {
                dialogInterface.dismiss();
            }
        });
        create.show();
    }
}

입력한 String을 obj에 저장한 후 a.a()에 집어 넣는다.

public class a {
    public static boolean a(String str) {
        byte[] bArr;
        byte[] bArr2 = new byte[0];
        try {
            bArr = sg.vantagepoint.a.a.a(b("8d127684cbc37c17616d806cf50473cc"), Base64.decode("5UJiFctbmgbDoLXmpL12mkno8HT4Lv8dlat8FxR2GOc=", 0));
        } catch (Exception e) {
            Log.d("CodeCheck", "AES error:" + e.getMessage());
            bArr = bArr2;
        }
        return str.equals(new String(bArr));
    }

    public static byte[] b(String str) {
        int length = str.length();
        byte[] bArr = new byte[length / 2];
        for (int i = 0; i < length; i += 2) {
            bArr[i / 2] = (byte) ((Character.digit(str.charAt(i), 16) << 4) + Character.digit(str.charAt(i + 1), 16));
        }
        return bArr;
    }
}

a.a()를 살펴보면 8d127684cbc37c17616d806cf50473cc를 b()에 넣은 값과, 5UJiFctbmgbDoLXmpL12mkno8HT4Lv8dlat8FxR2GOc=를 Base64로 디코딩한 값을,

sg.vantagepoint.a.a.a()를 호출하여 bArr에 저장한다.

package sg.vantagepoint.a;

import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;

/* loaded from: C:\Users\JaeKyeom\AppData\Local\Temp\jadx-14703332321562638944.dex */
public class a {
    public static byte[] a(byte[] bArr, byte[] bArr2) {
        SecretKeySpec secretKeySpec = new SecretKeySpec(bArr, "AES/ECB/PKCS7Padding");
        Cipher cipher = Cipher.getInstance("AES");
        cipher.init(2, secretKeySpec);
        return cipher.doFinal(bArr2);
    }
}

하다보니까 클래스 이름이 다 헷갈리게 선언 돼있는 것 같기는 하다;;

sg.vanagepoint.a.a.a()를 보면

AES복호화를 진행하는 구문이다.

문제를 풀이하기 위해, 기존 스크립트에 추가 프리다 스크립트를 작성하였다.

후킹한 리턴 값을 retval 변수에 하나씩 저장하고, 그 변수들을 secret_string에 합쳐서 문자열 형태로 저장해 출력시키는 스크립트를 작성했다.

console.log("!!!!!")
	Java.perform(function() {
		console.log("script loaded!!");

	var a = Java.use("sg.vantagepoint.a.a");
	a.a.implementation = function(a,b) {
		console.log("[*]Hooking in a Class");
		var retVal = this.a(a,b);
		var passcode='';
		for(var i=0;i<retVal.length;i++){
			passcode+=String.fromCharCode(retVal[i]);
		}
		console.log("Secret Key : " + passcode);
		return retVal;
	}
});

얻어낸 secret key를 입력하면 성공적으로 풀이할 수 있다.

[AndroGoat] Network Intercepting

Kye0m — Fri, 16 Sep 2022 19:01:10 +0900

Androgoat - Network Intercepting

SSL 피닝문제이다. Nox를 버프슈트와 연결한 후, http와 https버튼을 누르면 각각의 패킷이 성공적으로 잡히는것을 볼 수 있다. 하지만 CERTIFICATE PINNING 버튼을 누르면 그렇지 않다.

문제풀이

trafficActivity.smali 파일을보면

    public final String getHttpurl() {
        return this.httpurl;
    }

    public final void setHttpurl(String str) {
        Intrinsics.checkParameterIsNotNull(str, "<set-?>");
        this.httpurl = str;
    }

    public final String getHttpsurl() {
        return this.httpsurl;
    }

    public final void setHttpsurl(String str) {
        Intrinsics.checkParameterIsNotNull(str, "<set-?>");
        this.httpsurl = str;
    }

해당함수를 통해서,http와 https버튼을 누를때, http url과 https url을 넘겨주게된다.

    public final void run(String url) {
        Intrinsics.checkParameterIsNotNull(url, "url");
        try {
            Request request = new Request.Builder().url(url).build();
            Toast.makeText(this, "Request sent to " + url + " Please intercept using Proxy", 1).show();
            this.client.newCall(request).enqueue(new Callback()
       		}
        catch (Exception e) {
            e.printStackTrace();
        	}
    }

run함수에서는 Request.Builder를 이용하여 요청을 발생시킨다.

final class TrafficActivity$doPinning$1 extends Lambda implements Function1<AnkoAsyncContext<TrafficActivity>, Unit> {
    public static final TrafficActivity$doPinning$1 INSTANCE = new TrafficActivity$doPinning$1();

    TrafficActivity$doPinning$1() {
        super(1);
    }

    @Override // kotlin.jvm.functions.Function1
    /* renamed from: invoke */
    public /* bridge */ /* synthetic */ Unit mo1134invoke(AnkoAsyncContext<TrafficActivity> ankoAsyncContext) {
        invoke2(ankoAsyncContext);
        return Unit.INSTANCE;
    }

    /* renamed from: invoke  reason: avoid collision after fix types in other method */
    public final void invoke2(AnkoAsyncContext<TrafficActivity> receiver) {
        Intrinsics.checkParameterIsNotNull(receiver, "$receiver");
        try {
            CertificatePinner pinner1 = new CertificatePinner.Builder().add("owasp.org", "sha256/gdU/UHClHJBFbIdeKuyHm/Lq/aQvMLyuTtcvTEE/1JQ=").add("owasp.org", "sha256/YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg=").add("owasp.org", "sha256/Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys=").build();
            OkHttpClient client = new OkHttpClient.Builder().certificatePinner(pinner1).build();
            Request.Builder builder = new Request.Builder();
            Request request = builder.url("https://owasp.org").build();
            Response response = client.newCall(request).execute();
            ResponseBody body = response.body();
            Log.v("Response", body != null ? body.string() : null);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

Certificate pinning버튼을 누를경우 CertificatePinner를 통해 "https://owasp.org"로 요청을 보내는 것을 확인할 수 있다.

프리다를 통해 자바스크립트 코드를 작성해서 CertificatePinner클래스의 check를 후킹해볼것이다.

console.log("Script loaded successfully");
Java.perform(function x() {
    console.log("java perform function");
    var CertificatePinner = Java.use('okhttp3.CertificatePinner');
    CertificatePinner.check.overload('java.lang.String','java.util.List').implementation = function (p0, p1) {
        console.log('! Intercepted okhttp3: ' + p0);
        return;
    };
});

프리다로 코드를 실행해보면, BurpSuite에서 패킷이 잡히는 것을 확인할 수 있다.

[AndroGoat] Binary Patching

Kye0m — Fri, 16 Sep 2022 13:15:28 +0900

AndroGoat - Binary Patching

해당 문제는Admin 권한을 활성화 시켜서 해당버튼을누르면 되는 문제이다.

문제풀이

Smali변조를 통해서 해당 문제를 해결할 수 있다.

jadx로 BinaryPatching.smali 파일을 열어보면 다음과 같은 구문을 볼 수있다.

onCreate에서 if(this.Admin) 을 보면 is.Admin이라는함수에서 어드민 여부를 검사하는것을 알 수 있다.

public void onCreate(Bundle savedInstanceState) {

        super.onCreate(savedInstanceState);

        setContentView(R.layout.activity_binary_patching);

        if (this.isAdmin) {

            TextView isAdminText = (TextView) _$_findCachedViewById(R.id.isAdminText);

            Intrinsics.checkExpressionValueIsNotNull(isAdminText, "isAdminText");

            isAdminText.setText("You are Admin Now");

            Button adminButton = (Button) _$_findCachedViewById(R.id.adminButton);

            Intrinsics.checkExpressionValueIsNotNull(adminButton, "adminButton");

            adminButton.setEnabled(true);

        }

        ((Button) _$_findCachedViewById(R.id.adminButton)).setOnClickListener(new View.OnClickListener() { // from class: owasp.sat.agoat.BinaryPatchingActivity$onCreate$1

            @Override // android.view.View.OnClickListener

BinaryPatching.smali 파일을 에디터로 열어서 if 부분을 변경해준다.

수정 전

수정 후

조건문이 참인 조건을 반대로 변경해주어서, admin이라고 인식하게 만든다.

apk easy tool을 통해서 컴파일 후, 설치해주면

다음과 같이 버튼이 활성화 된다.

[AndroGoat] Emulator Detection bypass

Kye0m — Fri, 16 Sep 2022 12:59:52 +0900

AndroGoat - Emulator Detection

이번 문제는 AndroGoat에 있는 에뮬레이터탐지를 우회하기 위한 문제이다.

nox를 통해 Emulator Detection에서 Check Emulator 버튼을 누르면 에뮬레이터가 아니라고 나온다.

public final boolean isEmulator() {
        String str = Build.FINGERPRINT + Build.DEVICE + Build.MODEL + Build.BRAND + Build.PRODUCT + Build.MANUFACTURER + Build.HARDWARE;
        if (str != null) {
            String builddtls = str.toLowerCase();
            Intrinsics.checkExpressionValueIsNotNull(builddtls, "(this as java.lang.String).toLowerCase()");
            return StringsKt.contains$default((CharSequence) builddtls, (CharSequence) "generic", false, 2, (Object) null) || StringsKt.contains$default((CharSequence) builddtls, (CharSequence) EnvironmentCompat.MEDIA_UNKNOWN, false, 2, (Object) null) || StringsKt.contains$default((CharSequence) builddtls, (CharSequence) "emulator", false, 2, (Object) null) || StringsKt.contains$default((CharSequence) builddtls, (CharSequence) "sdk", false, 2, (Object) null) || StringsKt.contains$default((CharSequence) builddtls, (CharSequence) "vbox", false, 2, (Object) null) || StringsKt.contains$default((CharSequence) builddtls, (CharSequence) "genymotion", false, 2, (Object) null) || StringsKt.contains$default((CharSequence) builddtls, (CharSequence) "x86", false, 2, (Object) null) || StringsKt.contains$default((CharSequence) builddtls, (CharSequence) "goldfish", false, 2, (Object) null) || StringsKt.contains$default((CharSequence) builddtls, (CharSequence) "test-keys", false, 2, (Object) null);
        }
        throw new TypeCastException("null cannot be cast to non-null type java.lang.String");
    }
}

EmulatorDetectionActivity를 jadx로 열었을 때, isEmulator()함수이다.

해당 함수는 6번째줄을 통해서 "generic","emulator","sdk","vbox" 등등 에뮬레이터 정보를 이용한 탐지를 진행한다.

김남수, 김성호, 박민수 and 조성제. (2021). 모바일 게임용 안드로이드 에뮬레이터 탐지 기법. 한국소프트웨어감정평가학회 논문지, 17(1), 41-50.

을 참고하면 기존탐지기법에 해당하는 에뮬레이터의 특징이 Nox에 포함되어 있지않아 탐지하지 못한다.

해당 함수가 Nox를 에뮬레이터로 탐지하지 못하므로, 반대로 에뮬레이터로 탐지하게끔 하는 실습을 진행할 예정이다.

문제풀이

Smali 변조를 통한 우회

수정 전

해당 부분이 에뮬레이터의 정보를 받아온 후, 반환해주는 부분이다

336라인과 337라인 사이에 return true를 넣어서 항상 에뮬레이터로 탐지하게끔 하는 것이 목표이다.

수정 후

실행해보면 성공적으로 에뮬레이터로 탐지하는 것을 알 수 있다.

프리다를 통한 우회

console.log("Script loaded successfully");
Java.perform(function x() {
	console.log("Inside function");
	var my_class = Java.use(
		"owasp.sat.agoat.EmulatorDetectionActivity");
		console.log("check")
	my_class.isEmulator.implementation = function (args) {
		console.log("\ncomplete!!!!")
		return true;
	};
})

해당 스크립트를 통해서 항상 t값을반환하게 하여, 항상 에뮬레이터라고 인식하게해준다.

frida -U -f owasp.sat.agoat -l 자바스크립트 --no-pause

해당 명령어를 통해서 프리다를 실행하면 성공적으로 수행할수 있다.

[AndroGoat] Root Detection Bypass

Kye0m — Wed, 14 Sep 2022 23:16:26 +0900

AndroGoat - 루팅탐지 우회

AndroGoat라는 실습용 앱을 통해서 앱후킹 및 탐지우회들을 실습해볼 예정이다.

AndroGoat는

https://github.com/satishpatnayak/MyTest

여기서 다운받을 수 있다.

이전 실습과 마찬가지로 앱을 다운받고 APK EASY TOOL을 써서 디컴파일 시켜줬다.

디컴파일 하는 과정은

(https://yookyeom105.tistory.com/6)

이 포스트에서 확인할 수 있다.

문제풀이

Root Detection

AndroGoat앱을 설치 후 앱을 실행해보면 Root Detection이라는 항목이 있다.

Check Root버튼을 눌러보면, 디바이스가 루팅되었다고 나온다.

아마 에뮬레이터 또는 안드로이드 기기가 루팅이 되었는지 확인해주는 부분인 것 같다.

우선, CHECK ROOT 버튼을 눌렀을 때, 어떠한 함수가 실행되는지 확인해봐야 한다.

잘 알려진 메소드 코드인 https://github.com/0xdea/frida-scripts 에서,

스크립트 코드를 참고하여, 실행되는 Method들을 추적해봤다.

CHECK ROOT 버튼을 눌렀을 때, is rooted() 함수가 실행되는 것을 알 수 있다.

해당 부분을 Smali 변조와, Frida를 통한 후킹을 통한 변조를 통해서,

버튼을 눌렀을 때, 루팅되지 않았다고 인식시키는 것이 목표이다.

1. smali변조를 통한 루팅탐지 우회

    public final boolean isRooted() {
        String[] file = {"/system/app/Superuser/Superuser.apk", "/system/app/Superuser.apk", "/sbin/su", "/system/bin/su", "/system/xbin/su", "/data/local/xbin/su", "/data/local/bin/su", "/system/sd/xbin/su", "/system/bin/failsafe/su", "/data/local/su", "/su/bin/su", "re.robv.android.xposed.installer-1.apk", "/data/app/eu.chainfire.supersu-1/base.apk"};
        boolean result = false;
        for (String files : file) {
            File f = new File(files);
            result = f.exists();
            if (result) {
                break;
            }
        }
        return result;
    }

RootDetectionActivity.smali파일을 jadx로 열어보면 다음과 같은 함수가 있다.

문자열로 되었는 file변수를 확인해보면

"/system/app/Superuser/Superuser.apk"

"/system/app/Superuser.apk"

"/sbin/su"

"/system/bin/su"

"/system/xbin/su"

"/data/local/xbin/su"

"/data/local/bin/su"

"/system/sd/xbin/su"

"/system/bin/failsafe/su"

"/data/local/su"

"/su/bin/su"

"re.robv.android.xposed.installer-1.apk"

"/data/app/eu.chainfire.supersu-1/base.apk"

등의 경로를 검사하는 것을 알 수 있다.

각 경로가 어떤 의미를 뜻하는지 알아보자.

1. su 바이너리 탐지

해당 함수의 탐지목록에서

"/sbin/su"

"/system/bin/su"

"/system/xbin/su"

"/data/local/xbin/su"

"/data/local/bin/su"

"/system/sd/xbin/su"

"/system/bin/failsafe/su"

"/data/local/su"

"/su/bin/su"

등이 해당한다.

루팅을 하는경우 시스템 권한을 이용하기 위해 각 디렉토리에 "su"파일을 남겨놓게 된다.

이를 탐지하는 기법이다.

2. 패키지 리스트 탐지

해당 함수의 탐지 목록에서는

"/system/app/Superuser/Superuser.apk"

"/system/app/Superuser.apk"

"re.robv.android.xposed.installer-1.apk"

"/data/app/eu.chainfire.supersu-1/base.apk"

등이 해당한다.

루팅과 관련된 apk파일들을 탐지하는 기법이다.

RootDetectionActivity.smali파일을 에디터로 열고, 파일 내에서 "탐지경로"에 해당하는 부분을

지워주면 탐지를 우회할 수 있다.

수정 전

수정 후

2. Frida를 통한 루팅탐지 우회

console.log("Script loaded successfully ");
Java.perform(function x() {
	console.log("Inside java perform function");
	var my_class = Java.use (
	"owasp.sat.agoat.RootDetectionActivity");

	my_class.isRooted.implementation = function (args) {
		console.log("\n0**********************************")
		return false;
};

})

해당 자바스크립트를 통해 isRooted함수의 반환값을 false로 바꿔서 반드시 루팅탐지가 되어있지 않다고 바꾼다.

frida -U -f owasp.sat.agoat -l test.js --no-pause

프리다를 통해 자바스크립트 코드를 실행시키면 루팅이 되어있지 않다고 나온다.

[injuredandroid.apk] Flag Six - Login3

Kye0m — Mon, 12 Sep 2022 20:56:56 +0900

문제풀이

public final void submitFlag(View view) {
        EditText editText = (EditText) findViewById(i.editText3);
        d.m.b.d.b(editText, "editText3");
        if (d.m.b.d.a(editText.getText().toString(), k.a("k3FElEG9lnoWbOateGhj5pX6QsXRNJKh///8Jxi8KXW7iDpk2xRxhQ=="))) {
            Intent intent = new Intent(this, FlagOneSuccess.class);
            FlagsOverview.D = true;
            new j().b(this, "flagSixButtonColor", true);
            startActivity(intent);
        }
    }

FlagSixLoginActivity중 submitFlag 부분만 가져왔다.

if문을 통해, 입력받은 값과 k클래스의 a(k3FElEG9lnoWbOateGhj5pX6QsXRNJKh///8Jxi8KXW7iDpk2xRxhQ==)

값과 비교한다는 것을 알 수 있다.

public static String a(String str) {
    if (c(str)) {
        try {
            SecretKey generateSecret = SecretKeyFactory.getInstance("DES").generateSecret(new DESKeySpec(f1917a));
            byte[] decode = Base64.decode(str, 0);
            Cipher cipher = Cipher.getInstance("DES");
            cipher.init(2, generateSecret);
            return new String(cipher.doFinal(decode));
        } catch (InvalidKeyException | NoSuchAlgorithmException | InvalidKeySpecException | BadPaddingException | IllegalBlockSizeException | NoSuchPaddingException e) {
            e.printStackTrace();
        }
    } else {
        System.out.println("Not a string!");
    }
    return str;
}

이를 따라가보면 입력받은 값을 Base64로 디코딩하여, DES를 통한 암호화를 진행하는 것을 알 수 있다.

이번엔 Frida를 이용해서 애플리케이션 내부에 자바스크립트 코드를 삽입하여 복호화를 진행해볼 예정이다.

우선 adb shell 을 통해서 nox에서 프리다 서버를 실행시켜준다.

frida -U b3nac.injuredandroid -l 실행시킬 자바스크립트파일

자바 스크립트 파일은 아래와 같이 작성해준다.

console.log("Script loaded successfully");
Java.perform(function x() {
	var my_class = Java.use("b3nac.injuredandroid.k");

	var string_class = Java.use("java.lang.String");

	my_class.a.overload("java.lang.String").implementation = function (args) {

		var my_string = string_class.$new("k3FElEG9lnoWbOateGhj5pX6QsXRNJKh///8Jxi8KXW7iDpk2xRxhQ==");
		var ret = this.a(my_string);
		console.log("Return value: " + ret);
		return ret;
	};
});

이렇게하면 항상 고정된 값을 복호화 하여 전달하기 때문에 어떠한 값을 입력하더라도 원하는 플래그값을 리턴으로 받을 수 있다.