'모바일'에 해당되는 글 67건

- 모바일 usb 케이블 연결 시

USB 디버깅 사용 여부 감지에 대하여 아래와 같이 내용 전달해 드립니다

체크가 필요한 시점에 안드로이드의 세팅 값으로 부터 ADB Enable 상태를 가져와서 체크합니다

가져오기 위한 클래스는 아래 링크를 참고해 주세요
https://developer.android.com/reference/android/provider/Settings.Secure

가져오기 위한 상숫값은 아래 링크를 참고해 주세요
https://developer.android.com/reference/android/provider/Settings.Global#ADB_ENABLED

https://dl.twrp.me/herolte/

https://github.com/topjohnwu/Magisk/releases

deliberate-practice.tistory.com/54

https://dl.twrp.me/hlteskt/

- G7 루팅 할려다가 엄청나게 삽질을 하여 기록을 남겨둠

- 해당 방법은 안드로이드 8.0에서 진행하였고, Super Su가 아닌 Magisk를 이용한 루팅 방법이다.

- 만약 리커버리에서 나처럼 Super Su 설치를 진행하면 그냥 순정펌웨어 설치하는게 정신 건강에 좋다.

G7 TWRP 설치 및 Magisk 설치

준비물

G7(SM-G930S), Odin3 v3.13, TWRP, Magisk Manager, Magisk.apk 

- 최초 리커버리 이미지 설치 : 볼륨 하 + 홈 버튼 + 전원 버튼 

- 리커버리 접근 : 볼륨 상 + 홈 버튼 + 전원 버튼

1. Odin 이용 시 Auto Reboot, Reset Time 제거 후 진행

2. 메인 메뉴에서 Wipe 선택 > 우측 하단의 Format Data 선택 > yes 입력 후 키보드 우측 하단의 체크 버튼 선택

(무결성 검증 때문에 필수)

3. adb push /Magisk-v20.3.zip /sdcard 후 install 설치

4. 리커버리 및 Magisk 설치 후 기기 내 Magisk.apk 설치 

- 참고

오딘으로 TWRP를 설치하고 부팅을 하면 순정리커버리로 복원됩니다.
TWRP를 설치할때 오딘에서 Auto Reboot에 체크를 해제하라는게 이것때문이지요.
오딘에서 Auto Reboot에 체크를 해제해도 바로 부팅을 시켜버리면 순정리커버리로 복원되어버립니다.
오딘에서 TWRP를 올린후 바로 리커버리로 진입하세요. 잘못해서 부팅되버리면 도루묵입니다.
이게 어렵다 싶으시다면 CAF Auto Root로 루팅을 먼저 하신후 Flashify 앱으로 리커버리를 설치하는 방법도 있습니다. 

https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06j-testing-resiliency-against-reverse-engineering

https://scent2d.tistory.com/86

위 경로 참고

if (ObjC.available) {

try {
var className = "mVaccine";
var funcName = "- mvc";
var hook = eval('ObjC.classes.' + className + '["' + funcName + '"]');
var newretval = ptr("0x0")

Interceptor.attach(hook.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });

var className2 = "cc_Util";
var funcName2 = "+checkJailBreakStatus";
var hook2 = eval('ObjC.classes.' + className + '["' + funcName + '"]');

Interceptor.attach(hook2.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    newretval = ptr("0x0")
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });

var className3 = "cc_IntroViewController";
var funcName3 = "- prepareAppStateCheck";
var hook3 = eval('ObjC.classes.' + className + '["' + funcName + '"]');

Interceptor.attach(hook3.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    newretval = ptr("0x0")
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });


}
catch(err) { console.log("[!] Exception2: " + err.message); } }

else { console.log("Objective-C Runtime is not available!"); }

관건은...내가 후킹하고 싶은

클래스명, 메소드명을 찾아서.. 

해당 메소드명의 값을 출력해보고 

반환 값을 replace하면 된다. 

 - 참고

https://blog.attify.com/bypass-jailbreak-detection-frida-ios-applications/

https://github.com/0xdea/frida-scripts

https://github.com/nabla-c0d3/ssl-kill-switch2/releases

모바일 단말기의 프록시 설정 시 단말기와 프록시 구간의 SSL 암호화가 사설 인증서로 암호화 되기 때문에, 경고 메세지가 뜨거나 통신을 수행할 수 없는 경우가 빈번히 발생합니다.

위의 문제 때문에 모바일 단말기에 SSL 패킷 분석을 위해 사설 인증서를 신뢰할 수 잇는 인증서로 등록하여 패킷 분석을 진행합니다. (ex /Burp/cert)

하지만, 디바이스의 신뢰할 수 있는 저장소를 무시하고 자체적으로 앱 내부에 저장된 인증서로 SSL 연결을 맺는 앱들이 존재하여 프록시 툴 상에 패킷을 확인할 수 없는 경우가 존재합니다.

인증서에 대한 검증이 클라이언트 측에서 이루어지기 때문에 애플리케이션에서 수행되는 인증서 검증을 비활성화하는 트윅을 설치하여 인증서 검증의 우회가 가능합니다.

com.nablac0d3.sslkillswitch2_0.14.deb 파일

/private/var/mobile/Media/Downloads 경로에 이동

dpkg -i <package>.deb

killall -HUP SpringBoard

https://ryanking13.github.io/2020/07/01/capturing-https-android-without-frida.html

https://omespino.com/tutorial-universal-android-ssl-pinning-in-10-minutes-with-frida/

https://codeshare.frida.re/@pcipolloni/universal-android-ssl-pinning-bypass-with-frida/

해당 블로그 내용을 그대로 가져왔습니다.

앱이 HTTPS를 사용하여 패킷을 암호화하고 있다면 가짜 루트 인증서를 설치해서 암호화된 패킷을 중간에서 MITM 방식으로 가로채서 복호화하여야 합니다.

문제는, 안드로이드 7.0인 Nougat부터는 시스템적으로 사용자가 설치한 루트 인증서를 신뢰하지 않도록 하는 옵션(SSL-Pinning)이 디폴트로 설정되어 있습니다.

이 때문에 안드로이드 7.0 이상에서 가짜 루트 인증서를 디바이스에 설치하고 패킷 스니핑을 시도하면, 인증서 검증에 문제가 생겨서 앱이 제대로 동작하지 않습니다.

✔️ Frida를 이용한 우회

이러한 SSL-Pinning 옵션을 우회하는 방법으로 잘 알려진 것은 Frida를 이용해서, 앱의 인증서 검증 과정을 후킹하는 방법입니다.

해당 방법에 대해서는 아래 포스트에 자세히 설명되어 있습니다.

• [Android] Frida를 이용한 SSL-Pinning 우회
• Bypassing Android SSL Pinning with FRIDA

Frida는,

• 👍 SSL-Pinning 우회 외에도 다양한 용도로 사용할 수 있고,
• 👍 안드로이드 뿐만 아니라 iOS 등의 환경에서도 사용할 수 있다는 장점이 있습니다.

그렇지만 한편으로는,

• 👎 매번 adb에서 Frida 서버를 실행하고 컴퓨터와 통신해야 한다는 점과,
• 👎 루팅된 디바이스가 필요해서 에뮬레이터를 사용하지 않으면 번거롭다는 단점이 있습니다.

https://ddungkill.tistory.com/111

위 경로 참조

환경 : Clutch 2.0.4 사용

Step 2.  Clutch로 진단할 Application 복호화

./clutch -i // 복호화할 앱 리스트 출력

./clutch -b [num] // 복호화할 앱 선택

Step 3. 앱 분석 & 코드 변경 (탈옥 우회 / 무결성 검증)

- clutch로 복호화한 앱은 /var/tmp/clutch/--- 밑에 있음.

- 실행 파일을 PC로 가져와서 분석 및 코드 변경

- 탈옥 우회 시 보통 IDA로 분석 후 HxD로 조작

- 무결성 검증 시엔 실행파일 Hash 값 비교(HashCalc 등 사용)

Step 4. 실행파일 업로드

- 변조/조작한 실행 파일을 설치 경로에 붙여넣기

- 보통 /var/containers/Bundle/Applications/--- 하위임.

- 기존 실행파일 삭제 후 업로드

- chmod 명령어를 이용해 권한 부여 ( chmod 777 [파일 이름] )

Step 5. 변조된 앱 실행

- 변조된 앱을 재실행하여 탈옥 / 무결성 우회 가능 판단

https://taesun1114.tistory.com/entry/rodebuggable-%EB%B3%80%EA%B2%BD%EC%9D%84-%ED%86%B5%ED%95%9C-%EB%8F%99%EC%A0%81-%EB%94%94%EB%B2%84%EA%B9%85

예전에 mprop 을 들어본 기억이 나서 해당 경로를 참고

https://www.bodkin.ren/index.php/archives/533/

위 포스팅을 통해 해답을 찾았는데

default.prop의 값을 변경해도 메모리에 올라와있는 속성 값은 그대로 0 이기 때문에 동적 디버깅이 되지 않는다.

위 블로그에서 mprop라는 파일을 다운받아, 실행하면 ro.debuggable값이 1로 패치 된다.

Usage

./mprop ro.debuggable 1

어떤 원리인지 궁금해서 살펴본 결과, /proc/1/maps의 /dev/__properties__안의 값을 변경하고 있다.

실제 단말기에서 확인한 결과, /init 프로세스의 /dev/__properties__의 메모리 주소를 확인한 후 인자로 받은 변경하고자 하는 속성값을 검색 후 값을 변경하는 것으로 보인다.

해당 메모리 주소의 값을 살펴보니 인자로 넣어 준 debuggable의 값이 들어있고 정상적으로 0x31(1)로 값이 변경된 것을 확인할 수 있었다.

이 후, manifest.xml 파일에 android:debuggable="true"값이 없어도 정상적으로 동적 디버깅이 가능함.

----------------------------------

아래 글은 린포럼에서 긁어옴

위의 내용에서 mprop 깃헙에 보게되면

https://github.com/wpvsyou/mprop?files=1

두개의 폴더가 있어요.

v7a
v8a

v7a는 32bit을
v8a는 64bit을 이야기해요.

그래서 IDA로 동적 디버깅 하실분들은 위의 내용 참고하시면 좋을 것 같아요.
좀더 v7a와 v8a의 내용은 아래에 링크 남겨드릴테니 봐주세요 :)

https://developer.android.com/ndk/guides/abis?hl=ko

https://digitalis.postype.com/post/2290617

블로그 내용 중 아래 내용을 참고

Extract

폴더 내부의 모든 파일들에 대해서 추출하기 위해서는 "cp" 명령어에 "r" 옵션을 주어 재귀적으로 탐색 뒤, 모든 파일과 디렉터리에 대해 복사를 시도한다.

아래의 예제에서는 "com.naver.nozzle"이라는 네이버 관련 Application의 복사를 시도 하였고, 추후 PC로 옮겨오기 용이하게 External Storage인 "/sdcard"로 복사를 하였다.

1. zeroltektt:/ # cp -r /data/data/com.naver.nozzle /sdcard/test_folder

복사를 하다보면 lib 폴더에 대해서 복사가 정상적으로 진행되지 않을 수 있는데, lib 폴더는 보통 Application을 실행하기 위해 필요한 공용 라이브러리를 Symbolic Link로 이어 놓은 형태이다.

Link와 연결 되어있는 라이브러리 파일들에 대해서는 권한이 미치지 않으므로 복사가 정상적으로 진행되지 않는 것은 당연하다. 또한 lib 폴더의 내용들은 조사에 영향을 주는 사용자 데이터가 포함되지 않으므로 무시하고 진행하여도 무방할 것이다.

1. C:\Users\Donghyun Kim

2. adb pull /sdcard/test_folder

복사를 완료했다면 adb shell을 종료하고 adb pull이라는 명령어를 이용해서 PC로 폴더들을 복사한다.

Altserver 에서 현재 12.2 버전 이상

윈도우 10 환경을 요구하는 상황에서 다시 3utools로 탈옥이 현재 가능하다.

vm ware에 mac을 설치해야 하나 고민했는데 다행이구만

환경 : win7

iOS version : 10.1.1 ~ 10.3.x