Reversing(XV): Solución Reto Sharif University "Commercial Application"

En este post la solución a otro reto de 'reversing' de un archivo APK (Android Application Package), es decir, de una aplicación para el sistema operativo Android, en el que también se ve involucrada la criptografía.

Este reto tiene el título "Commercial Application" y mi valoración sobre su dificultad es:  ★★★☆☆.

Su enunciado dice lo siguiente:

Flag is a serial number.

Y nos dan un archivo APK (suCTF.apk).

Solución: Ejecuto la aplicación en un emulador de Android. 

Si pulso sobre "Picture-01" se muestra el mensaje "You picked : 1", mientras que si pulso sobre "Picture-02" o "Picture-03" el mensaje que se visualiza es "Please enter a registration key to view all items".

Y si pulso sobre el icono indicado en la primera de las figuras siguientes se me pide que introduzca una clave de producto. Introduzco una cualquiera (por ejemplo: "ClaveDeProducto"), pulso "Continue" y se muestra un mensaje de error:

Al igual que en el post anterior de 'reversing', para el análisis de la APK utilizo jadx, un decompilador de archivos APK.

Examinando las clases veo que parece que la validación de la clave de producto que se introduce se realiza en la clase "KeyVerifier" mediante su función "IsValidLicenceKey", que utiliza como parámetros "userInput" (clave de producto introducida), "secretKey" (clave con la que se ha cifrado el número de licencia válido con el algoritmo AES en modo CBC - 'cipher-block chaining' -) y "iv" (vector de inicialización):

Es decir, dicha función verifica que la clave de producto introducida por el usuario (que se cifra con AES en modo CBC utilizando "secretKey" como clave de cifrado y "iv" como vector de inicialización) sea igual que el número de licencia válido (VALID_LICENCE, que está cifrado de igual manera), por lo que parece que no hay otra solución que descifrar este último.

Para ello necesito saber los parámetros 2 y 3 que recibe esta función, "secretKey" y "iv", respectivamente. Pero, ¿dónde se establecen esos valores?.

Examinando la clase "DBHelper" veo lo siguiente:

De lo que deduzco que los valores de "secretKey" y "iv" se obtienen de tabla "config" en la base de datos db.db tras realizarse una consulta ("SELECT") a dicha tabla seleccionando la fila con el valor de la columna "a" igual 1. En concreto, los valores buscados serían los correspondientes a la sexta y quinta columnas, respectivamente.

Extraigo el contenido del archivo APK con el software 7-Zip y veo que en la carpeta assets se encuentra la base de datos SQLite utilizada por la aplicación (db.db). Abro esa base de datos con el software DB Browser for SQLite y veo que la tabla "config" contiene una única fila con los siguientes valores en sus columnas: 

Y, por tanto, ya tengo los valores de la clave de cifrado ("secretKey") y del vector de inicialización ("iv"), columnas "f" (sexta columna) y "e" (quinta columna), respectivamente:

secretKey = 37eaae0141f1a3adf8a1dee655853714
iv = a5efdbd57b84ca36

Ahora ya sólo queda descifrar el número de licencia válido:

VALID_LICENCE = 29a002d9340fc4bd54492f327269f3e051619b889dc8da723e135ce486965d84

Para ello creo un pequeño script en python:

from Crypto.Cipher import AES

VALID_LICENCE = '29a002d9340fc4bd54492f327269f3e051619b889dc8da723e135ce486965d84'.decode('hex')
secretKey = '37eaae0141f1a3adf8a1dee655853714'.decode('hex')
iv = 'a5efdbd57b84ca36'
decryption = AES.new(secretKey, AES.MODE_CBC, iv)
VALID_LICENCE_DEC = decryption.decrypt(VALID_LICENCE)

print ''
print 'VALID LICENCE:', VALID_LICENCE_DEC

Lo ejecuto y obtengo lo siguiente:

Con lo que la solución a este reto es: fl-ag-IS-se-ri-al-NU-MB-ER.

Para comprobar si lo he hecho bien ejecuto la APK en el emulador de Android, introduzco el número de licencia hallado en el paso anterior y pulso "Continue":

Y, tal y como se puede ver en la figura anterior, se muestra el mensaje de éxito.