인시큐어뱅크는 안드로이드 모의 해킹을 공부하기 위해 만들어진 앱입니다.

• Flawed Broadcast Receivers
• Intent Sniffing and Injection
• Weak Authorization mechanism
• Local Encryption issues
• Vulnerable Activity Components
• Root Detection and Bypass
• Emulator Detection and Bypass
• Insecure Content Provider access
• Insecure Webview implementation
• Weak Cryptography implementation
• Application Patching
• Sensitive Information in Memory
• Insecure Logging mechanism
• Android Pasteboard vulnerability
• Application Debuggable
• Android keyboard cache issues
• Android Backup vulnerability
• Runtime Manipulation
• Insecure SDCard storage
• Insecure HTTP connections
• Parameter Manipulation
• Hardcoded secrets
• Username Enumeration issue
• Developer Backdoors
• Weak change password implementation

위와 같은 취약점이 포함되어 있고 이제 하나씩 하나씩 따라가면서 공부를 해볼 계획입니다.

먼저 https://github.com/dineshshetty/Android-InsecureBankv2에서 레포지토리를 다운로드 합니다.

또는

git clone https://github.com/dineshshetty/Android-InsecureBankv2.git

을 이용하셔도 됩니다.

이제 AndroLabServer를 실행시켜 주어야 합니다.

방금 받은 폴더 내부에 AndroLabServer라는 폴더로 들어가면 requirements.txt가 있는데, pip을 통해 필요요소들을 설치해 줍니다.

pip install -r requirements.txt

설치가 완료되었다면 AndroLabServer폴더 안에있는 app.py를 실행시켜줍니다.

python app.py

에뮬레이터, adb, python의 설치는 인터넷에 자료가 많으니 설명은 생략하겠습니다.

다음으로는 안드로이드 디바이스 또는 Nox, Genymotion등등 안드로이드 에뮬레이터를 준비합니다.

에뮬레이터를 실행 또는 디바이스를 연결한 뒤, adb devices를 입력해서 연결이 잘 되었는지 확인합니다.

이제 Android-InsecureBankv2-master폴더에 있는 InsecureBankv2.apk를 에뮬레이터에 설치해줍니다.

adb install InsecureBankv2.apk

정상적으로 설치가 완료되고나면, 실행을 시켜봅니다.

• dinesh/Dinesh@123$

• jack/Jack@123$

위의 정보로 로그인을 해봅니다.

이때 Login버튼에 반응이 없다면 서버의 문제로 서버가 정상작동하고 있는지, 꺼져있지 않은지 확인해봅니다.

로그인까지 성공했으면, 환경구축은 끝났습니다.

문제에 접속하면 O이 보이고 Goal이 보입니다.

O에 마우스를 올리니 yOu로 바뀌고

클릭을 하면 1px씩 오른쪽으로 옮겨갑니다.
Goal까지 O를 옮기는 것 같아 보입니다.

코드를 보니 누를때 마다 left가 1px씩 증가되고 딱 1600이 되었을 때 문제가 풀리는 것 같습니다.

href값을 토대로 https://webhacking.kr/challenge/code-1/?go=1600px 에 접속해보니 no hack이라고 뜨는것을 볼 수 있습니다.

onclick을 했을때 +1이 아닌 +1599가 되도록 코드를 수정 해준뒤에 한번 눌러보면,

Goal바로 앞까지 이동되는 것을 볼 수 있습니다. 다시 +1만큼 이동되게 수정해준뒤 한번 더 누르게 되면

해-결

문제에 접속해 보면 유저들 닉네임으로 보이는 투표 랭킹이 보이네요.

저는 저---아래 535등에 있습니다.

이때 이름을 누르게 되면 투표가 되면서 Hit 카운트가 하나 늘어나게 됩니다.

GET으로 리퀘스트를 보내고 파라미터로 hit에 아이디를 넣어서 보냅니다.

쿠키를 확인해보니 vote_check라는 쿠키로 투표를 했는지 안했는지를 구별합니다.

총 100번의 투표가 되어야 문제가 해결되는 것 같아 보입니다. 손으로 쿠키를 매번 지우고 다시 투표하기에는 가능은 하지만 힘들겠죠?

콘솔창을 열고 setCookie라는 함수를 정의 해 줍니다.(구글링 해서 들고왔습니다.)
이때 path를 /challenge/code-5/로 변경해주어야 합니다. 쿠키값이 /vote_check이 아닌 /challenge/code-5/vote_check이기 때문이에요

• 첫번째로 setCookie선언 해주기
• 반복문을 작성하기
  • setCookie를 이용해 vote_check쿠키의 만료시간을 과거로 돌려줍니다. == 쿠키삭제와 동일
  • fetch를 이용해 파라미터를 자신의 아이디로 하고 리퀘스트 보내기

실행을 시키면 위와같이 100번의 리퀘스트를 보내는데, 비동기식으로 구현해서 그런지 60번 정도만 vote가 되었습니다. 고로 한번더 돌려주면-

해-결

문제에 접속하면 idx가 나오고 소스코드가 주어진다.

소스를 분석해본 결과, PHPSESSID쿠키 값이 숫자로 이루어 져야한다.

이런식으로 되어있는 값을 123등으로 바꿔준다. 세션아이디가 바뀌었기 떄문에 다시 로그인 하라고 떠서 다시 로그인 해준다.

https://webhacking.kr/challenge/web-37/?mode=auth
이렇게 mode라는 인자를 auth로 설정해주면 분기문을 타고 내려가서 ./readme/$_SESSION["idx"].txt를 열고 그 안의 내용이 $_SESSION["idx"]이면 풀리는 문제이다.

분기문을 빠져나온 뒤에는 우리가 도달해야하는 ./readme/$_SESSION["idx"].txt를 열고 그 안의 내용을 $_SESSION["idx"] 쓰는 부분이있다.

마지막 분기문에서 접속하고 있는 주소가 127.0.0.1이 아니면 만든 파일을 지워버린다.

따라서 접속하는 주소를 127.0.0.1로 조작을 하는 방법을 생각해볼 수 있었다.

하지만 검색을 해본 결과 불가능 하다고...

여러번 문제를 접속해보았는데 처음에 echo되는 idx값은 고정인거 같았다. 그리고 소스를 잘 들여다 보면, sleep(1)이 여러개 있는 것을 발견할 수 있는데, sleep은 레이스컨디션을 유발할 수 있는 함수라는 사실..!

만약 파일을 만들고 지우기전에 다른 세션으로 접속을 한다면, 아마 문제는 풀릴 것이다.

그래서 크롬과 파이어 폭스 두개를 켜놓고(크롬 두 창으로 해도 될거같긴하다.) 세션쿠키를 다르게 설정한 뒤, 두개를 약간의 시간차를 두고 새로고침 해보았다.

해-결