'모바일'에 해당되는 글 65건

https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06j-testing-resiliency-against-reverse-engineering

https://scent2d.tistory.com/86

위 경로 참고

if (ObjC.available) {

try {
var className = "mVaccine";
var funcName = "- mvc";
var hook = eval('ObjC.classes.' + className + '["' + funcName + '"]');
var newretval = ptr("0x0")

Interceptor.attach(hook.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });

var className2 = "cc_Util";
var funcName2 = "+checkJailBreakStatus";
var hook2 = eval('ObjC.classes.' + className + '["' + funcName + '"]');

Interceptor.attach(hook2.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    newretval = ptr("0x0")
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });

var className3 = "cc_IntroViewController";
var funcName3 = "- prepareAppStateCheck";
var hook3 = eval('ObjC.classes.' + className + '["' + funcName + '"]');

Interceptor.attach(hook3.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    newretval = ptr("0x0")
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });


}
catch(err) { console.log("[!] Exception2: " + err.message); } }

else { console.log("Objective-C Runtime is not available!"); }

관건은...내가 후킹하고 싶은

클래스명, 메소드명을 찾아서.. 

해당 메소드명의 값을 출력해보고 

반환 값을 replace하면 된다. 

 - 참고

https://blog.attify.com/bypass-jailbreak-detection-frida-ios-applications/

https://github.com/0xdea/frida-scripts

https://github.com/nabla-c0d3/ssl-kill-switch2/releases

모바일 단말기의 프록시 설정 시 단말기와 프록시 구간의 SSL 암호화가 사설 인증서로 암호화 되기 때문에, 경고 메세지가 뜨거나 통신을 수행할 수 없는 경우가 빈번히 발생합니다.

위의 문제 때문에 모바일 단말기에 SSL 패킷 분석을 위해 사설 인증서를 신뢰할 수 잇는 인증서로 등록하여 패킷 분석을 진행합니다. (ex /Burp/cert)

하지만, 디바이스의 신뢰할 수 있는 저장소를 무시하고 자체적으로 앱 내부에 저장된 인증서로 SSL 연결을 맺는 앱들이 존재하여 프록시 툴 상에 패킷을 확인할 수 없는 경우가 존재합니다.

인증서에 대한 검증이 클라이언트 측에서 이루어지기 때문에 애플리케이션에서 수행되는 인증서 검증을 비활성화하는 트윅을 설치하여 인증서 검증의 우회가 가능합니다.

com.nablac0d3.sslkillswitch2_0.14.deb 파일

/private/var/mobile/Media/Downloads 경로에 이동

dpkg -i <package>.deb

killall -HUP SpringBoard

https://ryanking13.github.io/2020/07/01/capturing-https-android-without-frida.html

https://omespino.com/tutorial-universal-android-ssl-pinning-in-10-minutes-with-frida/

https://codeshare.frida.re/@pcipolloni/universal-android-ssl-pinning-bypass-with-frida/

해당 블로그 내용을 그대로 가져왔습니다.

앱이 HTTPS를 사용하여 패킷을 암호화하고 있다면 가짜 루트 인증서를 설치해서 암호화된 패킷을 중간에서 MITM 방식으로 가로채서 복호화하여야 합니다.

문제는, 안드로이드 7.0인 Nougat부터는 시스템적으로 사용자가 설치한 루트 인증서를 신뢰하지 않도록 하는 옵션(SSL-Pinning)이 디폴트로 설정되어 있습니다.

이 때문에 안드로이드 7.0 이상에서 가짜 루트 인증서를 디바이스에 설치하고 패킷 스니핑을 시도하면, 인증서 검증에 문제가 생겨서 앱이 제대로 동작하지 않습니다.

✔️ Frida를 이용한 우회

이러한 SSL-Pinning 옵션을 우회하는 방법으로 잘 알려진 것은 Frida를 이용해서, 앱의 인증서 검증 과정을 후킹하는 방법입니다.

해당 방법에 대해서는 아래 포스트에 자세히 설명되어 있습니다.

• [Android] Frida를 이용한 SSL-Pinning 우회
• Bypassing Android SSL Pinning with FRIDA

Frida는,

• 👍 SSL-Pinning 우회 외에도 다양한 용도로 사용할 수 있고,
• 👍 안드로이드 뿐만 아니라 iOS 등의 환경에서도 사용할 수 있다는 장점이 있습니다.

그렇지만 한편으로는,

• 👎 매번 adb에서 Frida 서버를 실행하고 컴퓨터와 통신해야 한다는 점과,
• 👎 루팅된 디바이스가 필요해서 에뮬레이터를 사용하지 않으면 번거롭다는 단점이 있습니다.

https://ddungkill.tistory.com/111

위 경로 참조

환경 : Clutch 2.0.4 사용

Step 2.  Clutch로 진단할 Application 복호화

./clutch -i // 복호화할 앱 리스트 출력

./clutch -b [num] // 복호화할 앱 선택

Step 3. 앱 분석 & 코드 변경 (탈옥 우회 / 무결성 검증)

- clutch로 복호화한 앱은 /var/tmp/clutch/--- 밑에 있음.

- 실행 파일을 PC로 가져와서 분석 및 코드 변경

- 탈옥 우회 시 보통 IDA로 분석 후 HxD로 조작

- 무결성 검증 시엔 실행파일 Hash 값 비교(HashCalc 등 사용)

Step 4. 실행파일 업로드

- 변조/조작한 실행 파일을 설치 경로에 붙여넣기

- 보통 /var/containers/Bundle/Applications/--- 하위임.

- 기존 실행파일 삭제 후 업로드

- chmod 명령어를 이용해 권한 부여 ( chmod 777 [파일 이름] )

Step 5. 변조된 앱 실행

- 변조된 앱을 재실행하여 탈옥 / 무결성 우회 가능 판단

https://taesun1114.tistory.com/entry/rodebuggable-%EB%B3%80%EA%B2%BD%EC%9D%84-%ED%86%B5%ED%95%9C-%EB%8F%99%EC%A0%81-%EB%94%94%EB%B2%84%EA%B9%85

예전에 mprop 을 들어본 기억이 나서 해당 경로를 참고

https://www.bodkin.ren/index.php/archives/533/

위 포스팅을 통해 해답을 찾았는데

default.prop의 값을 변경해도 메모리에 올라와있는 속성 값은 그대로 0 이기 때문에 동적 디버깅이 되지 않는다.

위 블로그에서 mprop라는 파일을 다운받아, 실행하면 ro.debuggable값이 1로 패치 된다.

Usage

./mprop ro.debuggable 1

어떤 원리인지 궁금해서 살펴본 결과, /proc/1/maps의 /dev/__properties__안의 값을 변경하고 있다.

실제 단말기에서 확인한 결과, /init 프로세스의 /dev/__properties__의 메모리 주소를 확인한 후 인자로 받은 변경하고자 하는 속성값을 검색 후 값을 변경하는 것으로 보인다.

해당 메모리 주소의 값을 살펴보니 인자로 넣어 준 debuggable의 값이 들어있고 정상적으로 0x31(1)로 값이 변경된 것을 확인할 수 있었다.

이 후, manifest.xml 파일에 android:debuggable="true"값이 없어도 정상적으로 동적 디버깅이 가능함.

----------------------------------

아래 글은 린포럼에서 긁어옴

위의 내용에서 mprop 깃헙에 보게되면

https://github.com/wpvsyou/mprop?files=1

두개의 폴더가 있어요.

v7a
v8a

v7a는 32bit을
v8a는 64bit을 이야기해요.

그래서 IDA로 동적 디버깅 하실분들은 위의 내용 참고하시면 좋을 것 같아요.
좀더 v7a와 v8a의 내용은 아래에 링크 남겨드릴테니 봐주세요 :)

https://developer.android.com/ndk/guides/abis?hl=ko

https://digitalis.postype.com/post/2290617

블로그 내용 중 아래 내용을 참고

Extract

폴더 내부의 모든 파일들에 대해서 추출하기 위해서는 "cp" 명령어에 "r" 옵션을 주어 재귀적으로 탐색 뒤, 모든 파일과 디렉터리에 대해 복사를 시도한다.

아래의 예제에서는 "com.naver.nozzle"이라는 네이버 관련 Application의 복사를 시도 하였고, 추후 PC로 옮겨오기 용이하게 External Storage인 "/sdcard"로 복사를 하였다.

1. zeroltektt:/ # cp -r /data/data/com.naver.nozzle /sdcard/test_folder

복사를 하다보면 lib 폴더에 대해서 복사가 정상적으로 진행되지 않을 수 있는데, lib 폴더는 보통 Application을 실행하기 위해 필요한 공용 라이브러리를 Symbolic Link로 이어 놓은 형태이다.

Link와 연결 되어있는 라이브러리 파일들에 대해서는 권한이 미치지 않으므로 복사가 정상적으로 진행되지 않는 것은 당연하다. 또한 lib 폴더의 내용들은 조사에 영향을 주는 사용자 데이터가 포함되지 않으므로 무시하고 진행하여도 무방할 것이다.

1. C:\Users\Donghyun Kim

2. adb pull /sdcard/test_folder

복사를 완료했다면 adb shell을 종료하고 adb pull이라는 명령어를 이용해서 PC로 폴더들을 복사한다.

Altserver 에서 현재 12.2 버전 이상

윈도우 10 환경을 요구하는 상황에서 다시 3utools로 탈옥이 현재 가능하다.

vm ware에 mac을 설치해야 하나 고민했는데 다행이구만

환경 : win7

iOS version : 10.1.1 ~ 10.3.x

아래 경로를 알게되었는데 일단 해봐야 겠다.

https://hackcatml.tistory.com/14

아래 경로 참고

https://www.lazenca.net/display/TEC/Anti-cheating+Engine+for+Android

Check debug

• 아래와 같이 두가지 방식으로 디버깅 여부를 확인할 수 있습니다.
  • 첫번째는 해당 프로세스의 "/proc/pid/cmdline" 파일의 내용을 확인하는 것 입니다.
  • 프로그램이 GDB에 의해 실행 될 경우 PPID의 프로세스는 gdb이기 때문에 "cmdline" 파일을 이용해 gdb를 탐지 할 수 있습니다.

bool isCheckCmdline()

• • 두번째는 해당 프로세스의 "/proc/pid/status" 파일의 내용을 확인하는 것 입니다.
  • status 파일에는 해당 프로세스의 상태, 스레드 정보, 메모리 정보, 등 많은 정보들이 저장되어 있습니다.

  • 여기에서 Debug 여부를 확인하기 위해 "TracerPid"의 값을 이용 할 수 있습니다.

    • 해당 프로세스가 다른 프로세스에 의해 추적 되고 있다면 추적하고 있는 프로세스의 PID가 저장됩니다.
    • 추적이 되고 있지 않으면 '0' 이 저장됩니다.

bool isCheckTracerPid()