프리다 - Uncrackable2 비밀번호 해제하기

 

UnCrackable-Level2를 jadx로 열어보니 요번에도 마찬가지로  어떤 메소드에 사용자가 입력한 텍스트를 건내주어 true, false를 반환하고 있다. 

 

 

해당 함수를 쫒아가면 왠 bar라는 함수에다가 또 값을 건내서 리턴 값을 반환하고 있는데, 보다시피 bar 함수는 native로 선언이 되어있으며, 함수의 몸통은 보여지지가 않는다. 

 

자바 native 키워드
참고: https://fors.tistory.com/80

자바의 native 키워드는 자바로 쓰여진 언어가 아닌 주로 C언어, C++ 같은 외부의 실행 가능한 라이브러리를 불러와서 사용할 수 있는 기능을 해준다. 

이 외부의 라이브러리는 잘알려진 .so나 .dll 같은 외부 라이브러리 파일을 의미함 

 

즉 bar 함수의 검증 기능을 확인하고 싶으면 .so 파일이 어디있는지 찾아내야한다. 

 

 

MainActivity의 코드를 잘 살펴보면 상위에 foo라는 라이브러리를 불러오는 것을 확인할 수가 있었다. 

이 foo라는 라이브러리도 apk 파일 어딘가에 존재할 것이다. 

 

직접 apk를 압축해제 하여서 lib 폴더를 확인 해봤다. 

 

그러더니 정말 라이브러리 파일 하나가 덩그러니 있던 것

이 라이브러리를 또 분석하기 위해서 ida 같은 디스어셈블러를 이용해준다. 

 

 

ida에 libfoo.so를 드래그 앤 드랍해서 로드 후 Exports 탭을 눌러준다. 

 

 

 

눌러주게 되니 CodeCheck_bar라는 Export가 보이는데 또 더블클릭해서 내용을 확인

 

 

ida가 아주 친절하게 그래프 형태로 동작과정을 보여주고 있는데 여기서 F5를 눌러주면 직접 C언어 형태로 코드를 보는 것이 가능함 

 

* ida free 버전은 x64 버전만 C언어 코드로 변환하는 것이 가능하므로, 미리 불러올 때에는 x64로 불러와야 한다.

 

 

나에게 아주 익숙한 코드들이 보인다. 

근데 가장 눈에 띄인건 저기 strcpy의 인자로 Thanks for all the fish 부분. 

v6이라는 변수에다 문자열을 복사 해주는 역할을 하는 함수인데, 저기 문자 부분이 비밀번호일 확율이 높았다. 

 

 

 

문자열 "Thanks for all the fish"를 복사하고 앱에다 넣고 버튼을 눌러보니 정말 맞다고 나온다. 

 

이번에는 굳이 frida의 기능들을 사용하지 않고 다른 툴들을 이용해서 충분히 쉽게 풀 수 있던 문제이다. 

 

 

 

 

다른 블로거분을 보니 frida로 libfoo.so를 후킹해서 동작 과정을 알아내서 직접 비밀번호를 알아내는게 가능했다. 

https://dokhakdubini.tistory.com/361

[OWASP-MSTG] Uncrackable level 2 Write-Up

 

libfoo.so의 strncmp 함수 후킹

 

[crackme2.py]

import frida, sys

def on_message(message, data):
	print(message)

    
PACKAGE_NAME = "Uncrackable Level 2"

jscode = """
console.log("[+] Start Script");

Java.perform(function() {

	Interceptor.attach(Module.getExportByName('libfoo.so', 'strncmp'), {

		onEnter: function (args){

			var param1 = args[0];
			var param2 = args[1];
			var param3 = args[2];

			if( Memory.readCString(param1).includes("111") ){
				console.log("[*] Your Input = " + Memory.readCString(param1));
				console.log("[!] Secret Code = " + Memory.readCString(param2));
			}

		},

	});

});
"""

process = frida.get_usb_device(1).attach(PACKAGE_NAME)
script = process.create_script(jscode)
script.on('message', on_message)
print('[+] Running Hook')
script.load()
sys.stdin.read()

코드는 Interceptor.attach라는 메서드를 이용하여 모듈을 후킹하는 방법이다. 

관련 문서:  https://frida.re/docs/javascript-api/#interceptor

 

'libfoo.so'에 'strncmp'가 onEnter 되었을 때 작동하는 함수를 정의 해주었다. 

 

이 strncmp의 두번째 인자를 가져오는 것이 목적인데, && 앞에 보면 입력 사이즈는 무조건 23개이어야 한다고 적혀있다. 

 

프로그램의 흐름상 AND 조건문이 하나라도 일치하지 않으면,

뒤의 조건들을 그냥 무시해버리 때문에 반드시 입력 사이즈가 23개가 되어야지 strncmp 함수가 호출이 된다. 

 

앱에서 1을 23개 적어준 다음 다시 콘솔창을 확인해보면

 

strncmp에 param2 즉 두번째 인자에 건내준 값이 보여지게 된다.