El blog de García Larragan y Cía

En este post la  solución a un reto de  'reversing'  de un archivo APK  ( A ndroid A p plication Pac k age), es decir, de una aplicación para el sistema operativo Android. Este reto tiene el  tí tulo  "Crack me if you can "  y mi valoración sobre su dificultad es:   ★ ★ ☆☆☆ . Su  enunciado  dice lo siguiente: John bets nobody can find the passphrase to login! Y nos dan un archivo cifrado ( crack-me-if-you-can_d4e396383e3f64ec7698efaf42f7f32b.tar.gz.gpg) y la clave de cifrado (GPG Key:   viphHowrirOmbugTudIbavMeuhacyet' ). Solución: Al descifrar el archivo que nos dan obtengo el archivo APK ( crack-me-if-you-can.apk ) y lo ejecuto en un emulador de Android . La aplicación me pide que introduzca una contraseña, introduzco una cualquiera (" passphrase "), pulso "Sign in" y se muestra un mensaje de error: Para el análisis de la APK utilizo   jadx , un decompilador de archivos APK. Al examinar las clases veo : Es decir, se r

En este post la  solución a otro de los retos de 'reversing' de la plataforma  RingZer0 Team . Este reto tiene el  tí tulo  " RingZer0  Authenticator "  y mi valoración sobre su dificultad es:   ★ ★ ★ ☆☆ . Su  enunciado  dice lo siguiente: To improve the security of our site, contestants now need to authenticate using our RingZer0 Authenticator. Y nos dan un archivo ejecutable (77b36c523c341967b8880240a5bee0a3.exe). Solución:   Ejecuto  este fichero   y  se me pide que introduzca un nombre de usuario y un código de autenticación : Introduzco dos cadenas cualesquiera , por ejemplo: "Username" y "AuthCode",  y se muestra un mensaje de error : Como primera opción en este tipo de retos  suelo utilizar OllyDbg. Abro en esta herramienta el archivo ejecutable y , también como suelo hacer habitualmente,  empiezo el análisis buscando  todas las cadenas de texto o  'strings'  utilizadas en el programa ( en la parte superior izquie