Py0zz1 W0r1d Py0zz1 W0r1d

Mobile/Frida

• Universal SSL Pinning Bypass ( Android )

  Mobile/Frida 2020. 3. 8. 20:01

  function SSLContext() { var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager'); var SSLContext = Java.use('javax.net.ssl.SSLContext'); // build fake trust manager var TrustManager = Java.registerClass({ name: 'com.sensepost.test.TrustManager', implements: [X509TrustManager], methods: { checkClientTrusted: function (chain, authType) { }, checkServerTrusted: function (chain, authType) {..

  Read More
• FRIDA Cheat Sheet

  Mobile/Frida 2020. 3. 2. 06:32

  1. 메모리 스캔 및 검색 2. Boolean 값 생성 3. Class 인스턴스 생성 및 Method 호출 4. ByteArray 출력 5. Native 함수 NOP 처리 6. Natvie 함수 인자값 및 반환값 조작 메모리 스캔 및 검색 function Memory_scan() { var ranges = Process.enumerateRangesSync({protection: 'r--', coalesce: true}); var range; function Next_Range(){ range = ranges.pop(); if(!range) { console.log("Memory Scan Done!"); return; } Memory.scan(range.base, range.size, "70 79 30 7..

  Read More
• Anti-Debugging 우회 ( ptrace 선점 )

  Mobile/Frida 2020. 2. 29. 03:23

  안티디버깅이 적용되어 있는 어플을 IDA나 GDB로 Attach하려고 하면 앱이 바로 종료되어 버린다. 또한, ptrace를 미리 선점하는 방식으로 안티디버깅이 적용된 경우도 있다. 이런 방식의 안티디버깅을 우회할 수 있는 방법 중 dlopen( )으로 우리가 원하는 라이브러리가 로드됐을 때, 바로 sleep을 걸어서 안티디버깅이 동작하기 전에 디버거를 Attach 해주는 방법이 있다. Interceptor.attach(Module.findExportByName(null, "dlopen"), { onEnter: function(args) { this.libc_name = Memory.readUtf8String(args[0]); if (this.libc_name.indexOf("libfoo.so") !==..

  Read More
• FRIDA Hooking (OWASP - UnCrackable2)

  Mobile/Frida 2019. 12. 22. 01:30

  OWASP-mstg : https://github.com/OWASP/owasp-mstg/tree/master/Crackmes OWASP Mobile Crack 트레이닝 중 Level2 문제풀이이다. 문제풀이는 FRIDA를 이용할 것이며, Level1 문제풀이는 여기에서 확인할 수 있다. UnCrackable2_exit( ) Hook adb install을 통해 App을 디바이스에 설치해주고 실행 시켜보도록 하자 루팅된 디바이스일 경우, 위와 같이 "Root Detected!" 경고창이 팝업되면서 [OK]를 누르면 App이 종료된다. 따라서, App이 종료되는 루틴을 먼저 확인하고 루팅된 디바이스에서도 App을 사용할 수 있게끔 해줘야 한다. MainActivity를 보면, b.a( ) / b.b( ) /..

  Read More
• Fridump (메모리 덤프)

  Mobile/Frida 2019. 12. 19. 04:38

  Frida를 이용한 메모리덤프를 소개 하고자 한다. 'Fridump'라는 툴인데, 프로세스의 모든 메모리영역을 Dump해서 파일로 저장해주는 툴이다. 메모리를 통째로 가져와서 분석해야할 때 유용하게 사용할 수 있다. 예를 들어, 암호화된 모듈,데이터가 Runtime 중 복호화되어 메모리에 로드되는 시점이 있을 것이다. 이 때 Fridump를 이용해서 메모리를 통째로 가져오면 복호화된 데이터를 얻을 수 있을 것이다. Fridump Fridump는 https://github.com/Nightbringer21/fridump 여기에서 다운받을 수 있다. 그리고 당연히 Frida API를 사용하기 때문에 pip install frida로 모듈을 설치해줘야 한다. Known App은 위처럼 Safari로 줘도 되지..

  Read More
• Unity Game App Hacking (궁수의 전설)

  Mobile/Frida 2019. 12. 18. 06:19

  페이스북같은 곳에서 궁수가 활을 쏘는 게임 광고 한번씩은 보셨을 것이다. '궁수의 전설'이라는 Unity Engine기반 게임인데 FRIDA를 이용해서 게임해킹을 한번 해볼까한다. 대부분의 게임 해킹은 App을 직접적으로 변조해서 다시 리패키징하는 방식으로 진행된다. 이런 방식을 'Modding'이라고 하는데, 이렇게 하는건 별로 마음이 내키지 않았다. 그래서 App변조가 아닌, FRIDA를 이용해서 동적으로 App을 후킹하는 방식으로 시도해봤다. 우선 시작에 앞서, 궁수의 전설은 싱글 플레이 게임으로 다른 플레이어에게 영향을 끼치지 않는다. 순위나 경쟁 시스템이 없는 오로지 자신만 즐기는 게임이기 때문에 오해 없길 바란다. Method Symbol 궁수의 전설은 il2cpp방식으로 빌드된 게임이다. 따..

  Read More
• Runtime Memory Patch

  Mobile/Frida 2019. 12. 17. 07:15

  Windows의 CheatEngine처럼 App실행 중에 메모리를 스캔해서 특정 메모리를 패치하는 방법이다. FRIDA의 Process API와 Memory API를 활용하면 된다. Memory Patch Script function memscan() { var patched = false; var scan_result; // 프로세스에서 'rw-'영역 메모리 가져옴 Process.enumerateRanges('rw-', { // 'rw-'영역 Callback함수 정의 onMatch: function(range) { if(!patched) {// pattern: py0zz1 scan_result = Memory.scanSync(range.base, range.size, '70 79 30 7a 7a 31'..

  Read More
• [FRIDA] 실행되지 않는 메소드 호출하기

  Mobile/Frida 2019. 10. 12. 01:34

  Frida로 App의 후킹포인트를 잡을 때 특수한 조건에만 실행이 되거나, 아예 실행되지 않는 메소드들을 후킹해야 할 때가 있다. 위 그림으로 예시로 들면, 빨간박스 yep( )는 중요한 값을 반환해주는 메소드인데 어느곳에서도 호출되지 않는다. 이때는 아래 코드로 간단하게 yep( )를 호출해줄 수 있다. Java.perform(function() { var Target = Java.use("com.hellocmu.picoctf.FlagstaffHill"); Target.getFlag.overload("java.lang.String","android.content.Context").implementation = function(a,b) { var retVal = this.yep(a); console.lo..

  Read More