domingo, 7 de abril de 2019

Reversing(XVII): Solución Retos "Android CrackMe" (II)

En esta entrada la solución a un reto de 'reversing' de una aplicación para el sistema operativo Android que aparece en https://www.hackplayers.com/2010/12/reto-android-crackme1.html

Este reto tiene el título "Android crackme#1"mi valoración sobre su dificultad es:  ☆☆☆.

Nos dan un archivo APK (crackme1hpys.apk) y tenemos que conseguir completar el proceso de login con un usuario y contraseña correctos.

Solución: ejecuto la aplicación en un emulador de Android y se me pide que introduzca un usuario y una contraseña. Introduzco dos valores cualesquiera, pulso "Login" y se muestra un mensaje de error:

Para el análisis de la APK utilizo jadx, un decompilador de archivos APK.

Examinando las clases enseguida veo que la validación del usuario y de la contraseña que se introducen se realiza en la clase "
crackme1hpys":
Tal y como se observa en el código de la figura anterior, para pasar el proceso de login con éxito el campo "Usuario" debe contener el valor "admin3" y, además, la contraseña introducida debe ser igual al resultado de la función "doConvert", a la que se le pasa como parámetro la cadena "PBAGENFRAN456", pero ¿qué se hace en esta función?. Pues fijándome bien, enseguida reconozco que para carácter alfabético en mayúsculas de la cadena que se le pasa como parámetro (códigos ASCII en decimal del 65 al 90) se realiza ROT13, es decir, se sustituye cada letra mayúscula de la cadena por la letra mayúscula que está trece posiciones por delante en el alfabeto.

Ejemplo: para la primera letra mayúscula de la cadena que se pasa como parámetro a la función, "P" (código ASCII 80 en decimal):

(resto ((80 - 65) + 13) / 26) + 65 = (resto 28 / 26) + 65 = 2 + 65 = 67 (código ASCII en decimal de "C").

Por tanto, para obtener la contraseña correcta creo un pequeño script en python:

secreto_enc = 'PBAGENFRAN456'
secreto = ''
for i in range(len(secreto_enc)):
    if ord(secreto_enc[i]) < 65 or ord(secreto_enc[i]) > 90:
       secreto=secreto+secreto_enc[i]
    else:
       secreto=secreto+chr((((ord(secreto_enc[i])- 65) + 13) % 26) + 65)

print 'password:', secreto

Ejecuto este script:
Por tanto, la contraseña correcta es:  "CONTRASENA456".

Para comprobar si lo he hecho bien ejecuto la APK en el emulador de Android, introduzco los campos "Usuario" y "Contraseña" hallados y pulso "Login":
Y, tal y como se puede ver en la figura anterior, se muestra el mensaje de éxito.

Reversing(XVI): Solución Retos "Android CrackMe" (I)

Con esta entrada comienzo una serie de posts con las soluciones a retos de 'reversing' de aplicaciones para el sistema operativo Android que he ido encontrando en diversas páginas web, plataformas de CTF online, etc. y que cumplen con presentar una dificultad para su resolución muy asequible (muy fáciles o fáciles), además de que me han parecido interesantes y/o entretenidos.

En este primer post indico mi solución a uno de los retos que se plantean en https://github.com/reoky/android-crackme-challenge, en concreto al segundo de los retos.
Challenge Two:

Nos dan un archivo APK (crackme_two.apk) y tenemos que autenticarnos en la aplicación mediante un e-mail y una contraseña.

Mi valoración sobre su dificultad es:  ☆☆☆.

Solución: ejecuto la aplicación en un emulador de Android y se me pide que me autentique. Introduzco un e-mail y una contraseña cualesquiera, pulso "Authenticate" y se muestra un mensaje de error:
Para el análisis de la APK utilizo jadx, un decompilador de archivos APK.

Examinando las clases enseguida veo que la validación del e-mail y de la contraseña que se introducen se realiza en la clase "ChallengeTwoFragmentOnClickListener":
Tal y como se observa en el código de la figura anterior, para autenticarse con éxito el campo "Email" debe ser "manager@corp.net" y, además, se calcula el hash md5 de lo que se introduce en el campo "Secret", que debe ser igual a "b2c4782f0afc0d9ccf21af70ac6c5c7e".

Por tanto, para superar este reto tenemos que revertir dicho hash md5, para lo que acudo a una de las muchas páginas especializadas en el cálculo de hashes a ver si tengo suerte:
Por tanto, la contraseña es: zipdrive.

Para comprobar si lo he hecho bien ejecuto la APK en el emulador de Android, introduzco los campos "Email" y "Secret" hallados y pulso "Authenticate":
Y, tal y como se puede ver en la figura anterior, se muestra el mensaje de éxito.

martes, 2 de abril de 2019

Reversing(XV): Solución Reto Sharif University "Commercial Application"

En este post la solución a otro reto de 'reversing' de un archivo APK (Android Application Package), es decir, de una aplicación para el sistema operativo Android, en el que también se ve involucrada la criptografía.

Este reto tiene el título "Commercial Application" y mi valoración sobre su dificultad es:  .

Su enunciado dice lo siguiente:

Flag is a serial number.

Y nos dan un archivo APK (suCTF.apk).

Solución: Ejecuto la aplicación en un emulador de Android

Si pulso sobre "Picture-01" se muestra el mensaje "You picked : 1", mientras que si pulso sobre "Picture-02" o "Picture-03" el mensaje que se visualiza es "Please enter a registration key to view all items".
Y si pulso sobre el icono indicado en la primera de las figuras siguientes se me pide que introduzca una clave de producto. Introduzco una cualquiera (por ejemplo: "ClaveDeProducto"), pulso "Continue" y se muestra un mensaje de error:
Al igual que en el post anterior de 'reversing'para el análisis de la APK utilizo jadx, un decompilador de archivos APK.

Examinando las clases veo que parece que la validación de la clave de producto que se introduce se realiza en la clase "KeyVerifier" mediante su función "IsValidLicenceKey", que utiliza como parámetros "userInput" (clave de producto introducida), "secretKey" (clave con la que se ha cifrado el número de licencia válido con el algoritmo AES en modo CBC - 'cipher-block chaining' -) y "iv" (vector de inicialización):
Es decir, dicha función verifica que la clave de producto introducida por el usuario (que se cifra con AES en modo CBC utilizando "secretKey" como clave de cifrado y "iv" como vector de inicialización) sea igual que el número de licencia válido (VALID_LICENCE, que está cifrado de igual manera), por lo que parece que no hay otra solución que descifrar este último.

Para ello necesito saber los parámetros 2 y 3 que recibe esta función, "secretKey" y "iv", respectivamente. Pero, ¿dónde se establecen esos valores?.

Examinando la clase "DBHelper" veo lo siguiente:
De lo que deduzco que los valores de "secretKey" y "iv" se obtienen de tabla "config" en la base de datos db.db tras realizarse una consulta ("SELECT") a dicha tabla seleccionando la fila con el valor de la columna "a" igual 1. En concreto, los valores buscados serían los correspondientes a la sexta y quinta columnas, respectivamente.

Extraigo el contenido del archivo APK con el software 7-Zip y veo que en la carpeta assets se encuentra la base de datos SQLite utilizada por la aplicación (db.db). Abro esa base de datos con el software DB Browser for SQLite y veo que la tabla "config" contiene una única fila con los siguientes valores en sus columnas: 
Y, por tanto, ya tengo los valores de la clave de cifrado ("secretKey") y del vector de inicialización ("iv"), columnas "f" (sexta columna) y "e" (quinta columna), respectivamente:

secretKey = 37eaae0141f1a3adf8a1dee655853714
iv = a5efdbd57b84ca36

Ahora ya sólo queda descifrar el número de licencia válido:

VALID_LICENCE = 29a002d9340fc4bd54492f327269f3e051619b889dc8da723e135ce486965d84

Para ello creo un pequeño script en python:

from Crypto.Cipher import AES

VALID_LICENCE = '29a002d9340fc4bd54492f327269f3e051619b889dc8da723e135ce486965d84'.decode('hex')
secretKey = '37eaae0141f1a3adf8a1dee655853714'.decode('hex')
iv = 'a5efdbd57b84ca36'
decryption = AES.new(secretKey, AES.MODE_CBC, iv)
VALID_LICENCE_DEC = decryption.decrypt(VALID_LICENCE)

print ''
print 'VALID LICENCE:', VALID_LICENCE_DEC

Lo ejecuto y obtengo lo siguiente:
Con lo que la solución a este reto es: fl-ag-IS-se-ri-al-NU-MB-ER.

Para comprobar si lo he hecho bien ejecuto la APK en el emulador de Android, introduzco el número de licencia hallado en el paso anterior y pulso "Continue":
Y, tal y como se puede ver en la figura anterior, se muestra el mensaje de éxito.