Hook-me write up

-

Syria National CTF (Finals)

Hook-me challenge


we had an android app named hook-me, back to the time of the competition we solved the challenge by de-compiling the apk and patching the smali code then recompile the app and signing it to get the flag , since that time i felt there should be another way to solve it using hooking so  i decide to write this write-up after finding the second way to solve this hook-me .

by de-compiling the apk and viewing its source code using apktool and dex2jar or simply using Jadx

if you have no idea what i'm talking about then i recommend you read this guide

Android App Reverse Engineering 101

then back to continue reading this post.

when you view the source code you will see the following :

as you see we have to change DoSomeMagic(55); to DoSomeMagic(256);

then the flag will be displayed so to do this without patching the apk we can use a great tool called Frida but i never used it before so i have to read the documentation

https://frida.re/docs/android/


after spending some time reading the doc i could solve it by hooking the DoSomeMagic function and changing the argument (55) to (256)

first we have to install Frida-tools to python using the following command :

pip install frida-tools

then we have to install frida-server to the emaluater we will use or to your own device but make sure first to have a rooted one in order to avoid some issues that might happen on un-rooted androids .


you can install the frida server by downloading it from

https://github.com/frida/frida/releases

and uncompress it.

after that you have to push it to the device using adb then run it as follow   :

now we should have our frida server runing and we are ready to inject our script into hook-me app

that will be done using java script

and for injecting the js script i used python (you can inject it directly using frida commands )

now lets see the injecting in action ^_* : 




تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

Oman National Cyber Security CTF Quals \ GUI I

-
صورة
  The challenge: Category : Malware Reverse Engineering Level : easy   Points : 50 The correct input is the flag,format flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx} Challenge Link : https://s3-eu-west-1.amazonaws.com/hubchallenges/Reverse/GUI.exe The solution :  I open the GUI.exe using dnspy tool because it is a .net file  it contains form with 8 check boxes and button and 4 labels when you hit the button the label will change to number  when i take a look at the button click event i saw this the code is very simple  every time the button clicked it takes the number 2 raised to the power num2 num2 is the index of the checkbox that we checked it from array  then calculate the result and store it in num  so we Jumped into conclusion : checkbox1.checked = array(0) >> num = math.pow(2,0) = 1 checkbox2.checked = array(1) >> num = math.pow(2,1) = 2 checkbox3.checked = array(2) >> num = math.pow(...
قراءة المزيد

vbs malware المرض الذي ما زال مستشري

-
صورة
بدأت القصة في صبيحة يوم ماطر و الملل عم ياكل بعقلي ...فجأة يأتيني رابط ("عأساس برنامج اختراق الفيسبوك....بلا...بلا...بلا") كالعادة شفت الرابط الرابط كان تابع ل "http://rgho[.]st" أنا طبعا فتحت الرابط ...حملت الملف الذي كان للأسف ملف vbs حللتوا الكود و طلع مجرد encoded worm يعني شوية تمويه ....المهم أنا خطر على بالي فكرة ...وضعت بمربع البحث "vbs." لأتفاجأ بالكم الهائل من الملفات يالي كل أسمائها بتوحي بأنها ملوثة(كان موجود ملفات عمرها بالسنتين عالاستضافة..هل يعقل هالشي من الاستضافة ..كيف بتسمح بتواجد هالملفات) فضولي دفعني حمل مجموعة من هالملفات و حللها كان الشي الملاحظ وجود ملفات غير مشفرة حتى و لا زالت موجودة عالموقع مثل يالي بالصورة تحت الملفات ما كانت فقط worms...كان في عبارة عن ناسخ أو دروبر dropper فيروس تاني بصيغة تنفيذية (نجرات-سايبر غيت-بيفروست......) مثال عليه الملف يالي بالصورة تحت لما فكيت تشفيرو و تبين إنو ملف بينسخ قيم هيكس لسيرفر نجرات بمجلد ال temp  بالصورة تحت مثال عالكود المستخدم بحفظ القيم  و تنفيذها.... المشكلة الكب...
قراءة المزيد