프리다 - Uncrackable1 비밀번호 해제하기

이번에는 루트 감지 우회를 이어서 비밀번호를 우회를 해보겠다. 

 

이번에는 굳이 루팅이 필요없으니깐 녹스 설정에서 ROOT를 꺼주었다. 

 

앱 분석

보는 것처럼 EditText에 아무 글자를 넣고 버튼을 누르면 맞는 정답이 아니라고 뜬다. 

 

이번 목표는 이를 우회하여 성공이 뜨게하는 것

 

 

앱 디컴파일 하기

 

저 동작 과정에서 어떤 모듈이 오가는지 또 그 모듈안에는 어떤 수식들이 있는지 확인을 위해서 앱 디컴파일러인 jadx를 설치해준다. 

 

https://github.com/skylot/jadx/releases

Releases · skylot/jadx

 

jadx-gui에 Uncrackable1 apk를 로드 해준다.

 

그러면 놀랍게도 시그니쳐 뿐만 아니라 리소스, MainActivity 같은 민감한 소스들이 다 공개가 된다. 

 

 

 

 

유심히 봐야할 부분은 바로 이 verify 함수 부분

바로 비밀번호를 검증하는 영역인데, EditText에 입력한 값을 가져와 a.a라는 메서드에 인자를 준다음 그 리턴 결과에 따라서 성공과 실패가 결정 된다. 

 

a.a(obj)를 더블 클릭해서 또 메서드 내부를 확인해 본다. 

 

이곳이 a.a 메서드의 실체이다. 

AES 방식으로 어떤 암호화된 비밀번호를 복호화하여 사용자가 방금 입력한 텍스트와 비교를 한다음 true 혹은 false를 리턴하는 방식이다. 

 

 

비밀번호 우회 1

비밀번호를 우회하는 방법은 크게는 두 가지인데, 하나는 간단히 검증 함수의 리턴 값을 무조건 true만 반환하게 하는 것이다. 

 

 

이 부분의 return인 str.equals...를 true로 바꾸어 준다면 아무 텍스트를 넣어도 성공을 출력할 것이다. 

 

 

 

[app2.py]

import frida, sys

def on_message(message, data):
	print(message)

    
PACKAGE_NAME = "Uncrackable1"

jscode = """
console.log("[+] Start Script");

Java.perform(function() {
	console.log("[+] Hooking System.exit");
	var aClass = Java.use("sg.vantagepoint.uncrackable1.a");
	aClass.a.implementation = function(str) {
		console.log("[+] a.a 함수 호출 감지");
		return true;
	}
});
"""

process = frida.get_usb_device(1).attach(PACKAGE_NAME)
script = process.create_script(jscode)
script.on('message', on_message)
print('[+] Running Hook')
script.load()
sys.stdin.read()

이전에 사용한 소스를 약간 수정한 것이다. 

"sg.vantagepoint.uncrackable1.a" 클래스를 불러와서 a 함수를 호출을 감지하여 이를 후킹해서 return true로 반환하게 시킨다. 

 

 

정말로 아무런 텍스트를 넣어도 무조건 Success가 호출되는 것을 확인 가능하다. 

 

 

비밀번호 우회 2

이번에는 조금 고급적인 방식으로 직접 암호화된 비밀번호를 복화하는 것을 찾아내 평문화된 비밀번호를 get하는 방법이다. 

이렇게 된다면 굳이 앱이 디버깅을 해서 함수 조작을 통해서 우회하지 않고, 알아낸 비밀번호를 입력해서 통과하는 것이 가능하다는 이점이 있다. 

 

 

그 비밀번호를 평문화하는 부분을 우선 찾아야 한다. 

 

코드를 확인해본 결과 sg.vantagepoint.a.a.a 이곳이 가장 유력했다. 

이녀석이 평문 비밀번호를 return 하는 것을 가져와서 콘솔창에다 출력해보면 되지 않을까 싶었다. 

 

jscode = """
console.log("[+] Start Script");

Java.perform(function() {
	console.log("[+] Hooking System.exit");
	var aClass = Java.use("sg.vantagepoint.a.a");
	aClass.a.implementation = function(a, b) {
		console.log("[+] 호출 감지!");

		var retVal = this.a(a, b);

		console.log("retVal:", retVal);

		return retVal;
	}
});
"""

이런식으로 기존의 함수를 완전히 다른 것으로 대체를 하는게 아니라 기능은 가지고 오고 싶다면 this.함수이름()으로 써주면 된다. 

여기서 나오는 return value인 retVal을 콘솔에 출력을 시켜보니...

 

왠 숫자들이 나열이 나오는데 이는 아스키코드 정수값이 출력되는 것으로 보인다. 

 

요것을 String으로 다시 변경해주게 수정

jscode = """
console.log("[+] Start Script");

Java.perform(function() {
	console.log("[+] Hooking System.exit");
	var aClass = Java.use("sg.vantagepoint.a.a");
	aClass.a.implementation = function(a, b) {
		console.log("[+] 호출 감지!");

		var retVal = this.a(a, b);

		console.log("retVal:", retVal);

		var password = "";
		for(var i=0; i<retVal.length; i++){
			password += String.fromCharCode(retVal[i]);
		}
		console.log('Password:', password);

		return retVal;
	}
});
"""

 

 

바로 "I want to belive"가 비밀번호

 

 

 

 

[전체 소스]

import frida, sys

def on_message(message, data):
	print(message)

    
PACKAGE_NAME = "Uncrackable1"

jscode = """
console.log("[+] Start Script");

Java.perform(function() {
	console.log("[+] Hooking System.exit");
	var aClass = Java.use("sg.vantagepoint.a.a");
	aClass.a.implementation = function(a, b) {
		console.log("[+] 호출 감지!");

		var retVal = this.a(a, b);

		console.log("retVal:", retVal);

		var password = "";
		for(var i=0; i<retVal.length; i++){
			password += String.fromCharCode(retVal[i]);
		}
		console.log('Password:', password);

		return retVal;
	}
});
"""

process = frida.get_usb_device(1).attach(PACKAGE_NAME)
script = process.create_script(jscode)
script.on('message', on_message)
print('[+] Running Hook')
script.load()
sys.stdin.read()