평범한 직장인의 메모장 :)

Root권한이 허용된 단말기에 앱 설치 후 실행할 경우 루팅이 탐지되며 강제종료 되는 것을 확인

이번에 루팅을 해제한 상태에서 실행할 경우

비밀키를 입력하라는 메시지가 출력된다. 틀린 비밀키 입력 시 다시 시도하라는 문구가 출력

2. 목표

1. 비밀키 검증 우회

2. 비밀키를 찾아서 입력

두 가지 방법으로 좁힐 수 있다.

3. 풀이

1) JEB3 Decompiler를 사용하여 Manifest부터 확인

Manifest 확인 시, 패키지명은 owasp.mstg.uncrackable1, 메인 액티비티 이름은 sg.vantagepoint.uncrackable1.MainActivity이다.

2) 메인 액티비티 sg.vantagepoint.uncrackable1.MainActivity 확인

루팅 탐지로직과 비밀키 입력 시 성공여부를 판단하는 로직이 보이며 각각 onCreate, verify 메서드라는 이름을 가지고 있다.

3) 루팅탐지 로직 분석

이 루팅을 탐지하는 로직이며, sg.vantagepoint.a 패키지 안의 c 클래스의 a, b, c 메서드를 모두 false를 만족하여야 루팅 탐지가 안되는 것을 확인할 수 있다.

c 클래스의 내부를 확인한 결과 a, b, c 메서드가 각각 무슨 일을 하는지 확인 할 수 있다.

a 메서드는 su의 PATH를 탐지하여 단말기에 su 경로가 존재하는지 확인

b 메서드는 test-keys라는 문자열이 있는지 확인

c 메서드는 su 바이너리들이 있는지 탐지

4) 루팅탐지 우회를 위한 Frida 코드 작성 후 실행

Java.perform(function(){
	// 콘솔로그로 정상 동작하는지 테스트 수행
	console.log("[*] passed!");
	
	// Rooting 우회
	var ByPassRooting=Java.use("sg.vantagepoint.a.c");
	console.log("[*] Rooting Detect_hook!!");
	ByPassRooting.a.implementation = function(param){return false;}
	ByPassRooting.b.implementation = function(param){return false;}
	ByPassRooting.c.implementation = function(param){return false;}
	console.log("[*] Rooting Bypass!!");
});

5) 루팅 우회 후, 비밀키 입력할 경우 다시 입력하라는 문구 출력

6) 비밀키를 알아내어 검증 우회 시도

UnCrackable에서 사용하는 모든 String 문자열을 모두 Console.log로 출력하는 후킹 코드 작성

Java.perform(function(){
	// 콘솔로그로 정상 동작하는지 테스트 수행
	console.log("[*] passed!");
	
	// Rooting 우회
	var ByPassRooting=Java.use("sg.vantagepoint.a.c");
	console.log("[*] Rooting Detect_hook!!");
	ByPassRooting.a.implementation = function(param){return false;}
	ByPassRooting.b.implementation = function(param){return false;}
	ByPassRooting.c.implementation = function(param){return false;}
	console.log("[*] Rooting Bypass!!");

	// 사용하고 있는 텍스트 출력하기
	var HookString = Java.use("java.lang.String");
	HookString.equals.implementation = function(param){
		console.log(param);
		return true;
	}
});

실행 결과, 사용하고 있는 모든 문자열이 출력되고 있어서 비밀키로 의심되는 문자열만 필터링한다.

이를 위한, 후킹코드를 재작성한다.

Java.perform(function(){
	// 콘솔로그로 정상 동작하는지 테스트 수행
	console.log("[*] passed!");
	
	// Rooting 우회
	var ByPassRooting=Java.use("sg.vantagepoint.a.c");
	console.log("[*] Rooting Detect_hook!!");
	ByPassRooting.a.implementation = function(param){return false;}
	ByPassRooting.b.implementation = function(param){return false;}
	ByPassRooting.c.implementation = function(param){return false;}
	console.log("[*] Rooting Bypass!!");

	// 사용하고 있는 텍스트 출력하기
	var HookString = Java.use("java.lang.String");
	HookString.equals.implementation = function(param){
		// 키 값이 아닌 항목 추가
		if (param == "ko-KR" | param == "owasp.mstg.uncrackable1" | param == "android.view.Display$HdrCapabilities" |  param == "SEC_FLOATING_FEATURE_MESSAGE_CONFIG_PACKAGE_NAME" | param == "sg.vantagepoint.uncrackable1.MainActivity" | param == "value" | param == "_track_generation" | param == "android.content.res.Configuration" | param == "0x4f4c" | param == "user" | param == "android.graphics.Rect" | param == "SEC_FLOATING_FEATURE_COMMON_SUPPORT_ULTRA_POWER_SAVING" | param == "SEC_FLOATING_FEATURE_COMMON_SUPPORT_SAFETYCARE" | param == "time_12_24" | param == "java.io.tmpdir" | param == "package" | param == "/data/app/owasp.mstg.uncrackable1-Qm86DR0g7jzG1URJA_qGOA==/base.apk" | param == "_generation" | param == "android.util.MemoryIntArray" | param == "sans-serif" | param == "sans-serif-medium" | param == "v30" | param == "android.os.ParcelFileDescriptor" | param == "settings" | param == "_generation_index" | param == "_generation_index" | param == "window" | param == "KRW" | param == "0"){
		}
		else{
			console.log(param);
		}
		return true;
	}
});

비밀키 값으로 의심되는 문자열 중 “I want to believe”가 보이며, 루팅 해제 후, 키 값 확인

7) 비밀키 값 확인