adb를 이용하여 액티비티를 임의로 조작할 수  있는 취약점에 대해서 알아보겠습니다.

이전과 마찬가지로 apktool을 이용해서 디컴파일 해줍니다. 

./apktool d InsecureBankv2.apk

/InsecureBankv2/AndroidManifest.xml을 열어 보면,

<?xml version="1.0" encoding="utf-8" standalone="no"?><manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.android.insecurebankv2" platformBuildVersionCode="22" platformBuildVersionName="5.1.1-1819727">
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.SEND_SMS"/>
	...중략
        <activity android:label="@string/title_activity_file_pref" android:name="com.android.insecurebankv2.FilePrefActivity" android:windowSoftInputMode="adjustNothing|stateVisible"/>
        <activity android:label="@string/title_activity_do_login" android:name="com.android.insecurebankv2.DoLogin"/>
        <activity android:exported="true" android:label="@string/title_activity_post_login" android:name="com.android.insecurebankv2.PostLogin"/>
        <activity android:label="@string/title_activity_wrong_login" android:name="com.android.insecurebankv2.WrongLogin"/>
        <activity android:exported="true" android:label="@string/title_activity_do_transfer" android:name="com.android.insecurebankv2.DoTransfer"/>
        <activity android:exported="true" android:label="@string/title_activity_view_statement" android:name="com.android.insecurebankv2.ViewStatement"/>
        <provider android:authorities="com.android.insecurebankv2.TrackUserContentProvider" android:exported="true" android:name="com.android.insecurebankv2.TrackUserContentProvider"/>
        <receiver android:exported="true" android:name="com.android.insecurebankv2.MyBroadCastReceiver">
            <intent-filter>
                <action android:name="theBroadcast"/>
            </intent-filter>
        </receiver>
        <activity android:exported="true" android:label="@string/title_activity_change_password" android:name="com.android.insecurebankv2.ChangePassword"/>
        <activity android:configChanges="keyboard|keyboardHidden|orientation|screenLayout|screenSize|smallestScreenSize|uiMode" android:name="com.google.android.gms.ads.AdActivity" android:theme="@android:style/Theme.Translucent"/>
        <activity android:name="com.google.android.gms.ads.purchase.InAppPurchaseActivity" android:theme="@style/Theme.IAPTheme"/>
        <meta-data android:name="com.google.android.gms.version" android:value="@integer/google_play_services_version"/>
        <meta-data android:name="com.google.android.gms.wallet.api.enabled" android:value="true"/>
        <receiver android:exported="false" android:name="com.google.android.gms.wallet.EnableWalletOptimizationReceiver">
            <intent-filter>
                <action android:name="com.google.android.gms.wallet.ENABLE_WALLET_OPTIMIZATION"/>
            </intent-filter>
        </receiver>
    </application>
</manifest>

activity의 정보들이 보이게 됩니다. 

그중 로그인 완료 화면인 PostLogin으로 임의 접근 해보겠습니다.

adb shell로 shell에 접속합니다.

am start -n com.android.insecurebankv2/.PostLogin

am(Activity Manager)명령어는 http://www.dreamy.pe.kr/zbxe/CodeClip/163972에 설명이 잘 되어있습니다.

앱이 실행중이 아니더라도 am을 통해서 원하는 액티비티를 띄울 수 있습니다.

<activity android:exported="true"
android:label="@string/title_activity_post_login" 
android:name="com.android.insecurebankv2.PostLogin"/>

이 부분에 exported 가 true이면, 앱 밖에서도 액티비티의 호출이 가능합니다.

따라서 exported="false"로 변경한 뒤, 리컴파일 , sign까지 한 어플을 설치한다면, 

./apktool b InsecureBankv2
java -jar sign.jar InsecureBankv2.apk

generic_x86_arm:/ $ am start -n com.android.insecurebankv2/.PostLogin                     
Starting: Intent { cmp=com.android.insecurebankv2/.PostLogin }
Security exception: Permission Denial: starting Intent { flg=0x10000000 cmp=com.android.insecurebankv2/.PostLogin } from null (pid=11059, uid=2000) not exported from uid 10093

java.lang.SecurityException: Permission Denial: starting Intent { flg=0x10000000 cmp=com.android.insecurebankv2/.PostLogin } from null (pid=11059, uid=2000) not exported from uid 10093
at com.android.server.am.ActivityStackSupervisor.checkStartAnyActivityPermission(ActivityStackSupervisor.java:1788)
at com.android.server.am.ActivityStarter.startActivity(ActivityStarter.java:717)
at com.android.server.am.ActivityStarter.startActivity(ActivityStarter.java:544)
at com.android.server.am.ActivityStarter.startActivityMayWait(ActivityStarter.java:1099)
at com.android.server.am.ActivityStarter.execute(ActivityStarter.java:486)
at com.android.server.am.ActivityManagerService.startActivityAsUser(ActivityManagerService.java:5120)
at com.android.server.am.ActivityManagerService.startActivityAsUser(ActivityManagerService.java:5094)
at com.android.server.am.ActivityManagerShellCommand.runStartActivity(ActivityManagerShellCommand.java:479)
at com.android.server.am.ActivityManagerShellCommand.onCommand(ActivityManagerShellCommand.java:161)
at android.os.ShellCommand.exec(ShellCommand.java:103)
at com.android.server.am.ActivityManagerService.onShellCommand(ActivityManagerService.java:16012)
at android.os.Binder.shellCommand(Binder.java:634)
at android.os.Binder.onTransact(Binder.java:532)
at android.app.IActivityManager$Stub.onTransact(IActivityManager.java:3592)
at com.android.server.am.ActivityManagerService.onTransact(ActivityManagerService.java:3291)
at android.os.Binder.execTransact(Binder.java:731)

위와같이 에러가 발생하며 액티비티의 실행이 안되는 것을 확인할 수 있었습니다.

처음으로 해볼 것은 앱 패치입니다.

필요한 것은 apktool과 SignApk입니다. 

인터넷에 apktool과 SignApk설치 관련 자료가 많으니 생략하겠습니다.

./apktool d InsecureBankv2.apk

apktool경로에 InsecureBankv2.apk를 옮긴 뒤, 명령을 이용해서 앱을 디컴파일 해줍니다. 

그 뒤 /InsecureBankv2/res/values/strings.xml파일을 열어줍니다.

<?xml version="1.0" encoding="utf-8"?>
<resources>
    <string name="abc_action_bar_home_description">Navigate home</string>
    <string name="abc_action_bar_up_description">Navigate up</string>
    <string name="abc_action_menu_overflow_description">More options</string>
    <string name="abc_action_mode_done">Done</string>
    <string name="abc_activity_chooser_view_see_all">See all</string>
	... 중략
    <string name="hello_world">Hello world!</string>
    <string name="is_admin">no</string>
    <string name="loginscreen_password">Password:</string>
    <string name="loginscreen_username">Username:</string>
    <string name="pref_submit">Submit:</string>
    <string name="server_ip">Server IP:</string>
    <string name="server_port">Server Port:</string>

</resources>

strings.xml은 앱 내부에 들어가는 문자열들이 모여있는 파일입니다.

파일 내용을 잘 살펴보면, is_admin이라는 요소가 보입니다. no라고 지정이 되어있는데, 이 값을 통해서 어드민인지 아닌지 앱에서 판단하는 것 같아 보입니다.

실제로 저 부분이 어디서 쓰이는지 확인해보겠습니다.

우선 https://github.com/Konloch/bytecode-viewer/releases링크를 통해 Bytecode-Viewer.jar를 다운로드 받습니다.

jar파일을 더블클릭 혹은 java -jar Bytecode-Viewer-[버전명].jar로 실행시켜줍니다. 

왼쪽 상단에 InsecureBankv2.apk를 드래그 드롭해줍니다. (파일이 로드되는데 시간이 조금 걸립니다.)

com.android.insecurebankv2.R$string.class를 클릭하여 열어줍니다.

방금 우리가 확인했던 is_admin이 보입니다. is_admin의 값은 2131165258이고, 앱 내부에서 is_admin을 사용할 때 2131165258를 이용하여 참조합니다. 따라서 왼쪽 하단의 search로 2131165258를 검색해봅시다.

검색결과가 하나가 나오는데 위치는 LoginActivity이고, onCreate메소드에서 참조됩니다. 

if문을 보게되면, is_admin에 해당하는 2131165258번 리소스를 가져와서, "no"인지 검사합니다. 

만약 "no"라면, 2131558510리소스에 setVisibility(8)을 해주는것을 알 수 있습니다.

0 is for VISIBLE
4 is for INVISIBLE 
8 is for GONE

이때 8은 GONE이므로  2131558510리소스를 없애버린다고 이해할 수 있습니다. 

com.android.insecurebankv2.R$id.class파일을 열어서 검색을 해보면 button_CreateUser라는 것을 알 수 있습니다. 

그렇다면 아마 is_admin의 값이 "no"만 아니면, CreateUser버튼이 활성화 된다 라고 생각해 볼 수 있겠습니다.

다시 apktool폴더로 돌아와서 /InsecureBankv2/res/values/strings.xml의 is_admin값을 임의로 바꿔 봅시다.

저장한 뒤 re compile 해줍니다.

./apktool b InsecureBankv2

작업이 완료되면, InsecureBank/dist/ 에 apk파일이 생성되는데, adb install을 통해 이 파일을 설치하려고 하면 에러가 발생합니다.

Failure [INSTALL_PARSE_FAILED_NO_CERTIFICATES: Failed to collect certificates from /data/app/vmdl883768825.tmp/base.apk: Attempt to get length of null array]

그 이유는 리컴파일 한 뒤, signing을 해주지 않았기 때문입니다. 

https://github.com/appium/sign

여기서 sign.jar를 받아준 뒤, 

java -jar sign.jar InsecureBankv2.apk

를 해주시면, sign이 완료되고 InsecureBankv2.s.apk가 생성됩니다.

sign과정에서 BASE64 관련 오류가 난다면 Java 8이하의 버전으로 실행하셔야합니다.

adb install InsecureBankv2.s.apk

adb를 통해 앱을 설치를 하게되면 정상적으로 설치가 됩니다.

예상대로 Create User버튼이 활성화 되었습니다. 

인시큐어뱅크는 안드로이드 모의 해킹을 공부하기 위해 만들어진 앱입니다.

• Flawed Broadcast Receivers
• Intent Sniffing and Injection
• Weak Authorization mechanism
• Local Encryption issues
• Vulnerable Activity Components
• Root Detection and Bypass
• Emulator Detection and Bypass
• Insecure Content Provider access
• Insecure Webview implementation
• Weak Cryptography implementation
• Application Patching
• Sensitive Information in Memory
• Insecure Logging mechanism
• Android Pasteboard vulnerability
• Application Debuggable
• Android keyboard cache issues
• Android Backup vulnerability
• Runtime Manipulation
• Insecure SDCard storage
• Insecure HTTP connections
• Parameter Manipulation
• Hardcoded secrets
• Username Enumeration issue
• Developer Backdoors
• Weak change password implementation

위와 같은 취약점이 포함되어 있고 이제 하나씩 하나씩 따라가면서 공부를 해볼 계획입니다.

먼저 https://github.com/dineshshetty/Android-InsecureBankv2에서 레포지토리를 다운로드 합니다.

또는

git clone https://github.com/dineshshetty/Android-InsecureBankv2.git

을 이용하셔도 됩니다.

이제 AndroLabServer를 실행시켜 주어야 합니다.

방금 받은 폴더 내부에 AndroLabServer라는 폴더로 들어가면 requirements.txt가 있는데, pip을 통해 필요요소들을 설치해 줍니다.

pip install -r requirements.txt

설치가 완료되었다면 AndroLabServer폴더 안에있는 app.py를 실행시켜줍니다.

python app.py

에뮬레이터, adb, python의 설치는 인터넷에 자료가 많으니 설명은 생략하겠습니다.

다음으로는 안드로이드 디바이스 또는 Nox, Genymotion등등 안드로이드 에뮬레이터를 준비합니다.

에뮬레이터를 실행 또는 디바이스를 연결한 뒤, adb devices를 입력해서 연결이 잘 되었는지 확인합니다.

이제 Android-InsecureBankv2-master폴더에 있는 InsecureBankv2.apk를 에뮬레이터에 설치해줍니다.

adb install InsecureBankv2.apk

정상적으로 설치가 완료되고나면, 실행을 시켜봅니다.

• dinesh/Dinesh@123$

• jack/Jack@123$

위의 정보로 로그인을 해봅니다.

이때 Login버튼에 반응이 없다면 서버의 문제로 서버가 정상작동하고 있는지, 꺼져있지 않은지 확인해봅니다.

로그인까지 성공했으면, 환경구축은 끝났습니다.