Buenas a todos!
Vamos a cerrar el fin de semana y ésta cadena de posts exponiendo la solución al segundo reto del CTF de las NoConName 2013 que se celebró el pasado fin de semana.
El juego consistía en una aplicación Android (.APK) que debía ser descargada de la pagina oficial del CTF.
Una vez instalada en el emulador o dispositivo, a nuestro pesar observamos que ésta no se ejecutaba correctamente, dando lugar a un error desconocido de entrada.
Rascando los ficheros de log del dispositivo mediante la aplicación CatLog, pudimos observar que algo no funcionaba correctamente en la aplicación, concretamente se mostraba el mensaje de error que se muestra a continuación:
Efectivamente, parecía que había algún tipo de error producido por un fichero Manifest.xml mal generado.
Para obtener el fichero Manifest.xml primero hay que decompilar el código fuente de la aplicación. Para ello se utilizó la herramienta APKTOOL:
Una vez instalada la herramienta en el sistema, obtener el decompilado de la aplicación , y consecuentemente el fichero Manifest.xml, ejecutando lo siguiente:
root@bt:~/Desktop# apktool d level.apk
I: Baksmaling...
I: Loading resource table...
I: Loaded.
I: Decoding AndroidManifest.xml with resources...
I: Loading resource table from file: /root/apktool/framework/1.apk
I: Loaded.
I: Regular manifest package...
I: Decoding file-resources...
I: Decoding values */* XMLs...
I: Done.
I: Copying assets and libs...
root@bt:~/Desktop#
A continuación se muestra el fichero Manifest.xml:
<?xml version="1.0" encoding="utf-8"?> <manifest android:versionCode="1" android:versionName="1.0" package="com.facebook_ctf.challenge" xmlns:android="http://schemas.android.com/apk/res/android"> <application android:theme="@style/AppTheme" android:label="@string/app_name" android:icon="@drawable/ic_launcher"> <activity android:label="@string/title_activity_main" android:name="com.facebook_ctf.challenge.MainActivity"> <intent-filter> <action android:name="android.intent.action.MAIN" /> <category android:name="android.intent.category.LAUNCHER" /> </intent-filter> </activity> <activity android:label="@string/title_activity_main" android:name="com.facebook_ctf.challenge.MainActivity" /> </application> </manifest>
Cómo se puede observar, hay dos MainActivity definidas, lo cual ocasiona un conflicto que evita que la aplicación pueda ser iniciada correctamente. Eliminando una de las dos líneas que definen el MainActivity será suficiente para que la aplicación sea ejecutada correctamente.
Una vez modificado el fichero Manifest.xml, hay que volver a recompilar la aplicación. Para ello volvímos a utilizar la herramienta APKTOOL pero ahora además es necesario el empleo de JARSIGNER para generar la firma:
root@bt:~/Desktop# apktool b level-smali level-modified.apk
I: Checking whether sources has changed...
I: Checking whether resources has changed...
I: Building apk file...
root@bt:~/Desktop# java -jar signapk.jar testkey.x509.pem testkey.pk8 ../level-modified.apk ../level-modified-signed.apk
Al instalar de nuevo la aplicación, ya pudimos ver de que se trataba:
La aplicación básicamente funciona de la siguiente forma: Dispone de un botón con la etiqueta “Gimme Gimme!” mediante el cual, cuando se hace TAP sobre él, se muestra una imágen en la aplicación. Concretamente en la aplicación original se muestra de forma aleatória una de las imágenes almacenadas en la carpeta resource de la aplicación:
No hace falta mucha ingeniería inversa para poder comprobar que las imágenes que se muestran son fragmentos de un código QR que, tal como ya os habréis imaginado, habrá que reconstruir. Así que, Let’s go!
Mediante el proceso de decompilado anteriormente mencionado, también se obtiene el código Dalvik de la aplicación que procederemos a comentar a continuación. No obstante, con la finalidad de poder comprender mejor el funcionamiento de la aplicación, antes de meternos en detalle en el código Smali, primero se procedió a pasar el código almacenado en el fichero classes.dex a Java para sacar un poco de luz al asunto.
Para esta tarea se hizo uso de la herramienta DEX2JAR:
- DEX2JAR - http://code.google.com/p/dex2jar/
El uso de la herramienta es bastante simple. Solamente es necesario descomprimir el fichero APK (p.ej. con el comando unzip) y posteriormente ejecutar lo siguiente con el fichero classes.dex obtenido:
/dex2jar-0.0.9.15/d2j-dex2jar.sh classes.dex
Mediante la ejecución de dicha herramienta, en conjunto con el uso de JD-GUI, fue posible obtener el código fuente en JAVA, donde se pudo observar cómo en la clase MainActivity se pinta la imágen escogida aleatoriamente. Concretamente se realiza en la función “yaaaay()” mediante la variable “localBitmap17″:
int i = new Random().nextInt(localArrayList.size());
makeMeHappyAgain(makeMeHappy(localBitmap1, localBitmap2, localBitmap3, localBitmap4), makeMeHappy(localBitmap5, localBitmap6, localBitmap7, localBitmap8), makeMeHappy(localBitmap9, localBitmap10, localBitmap11, localBitmap12), makeMeHappy(localBitmap13, localBitmap14, localBitmap15, localBitmap16));
Bitmap localBitmap17 = (Bitmap)localArrayList.get(i);
this.secret.setImageBitmap(localBitmap17);
La función “makeMeHappyAgain”, analizando el código se observó que era la responsable de maquetar el código QR correctamente (bueno casi, pero eso lo veremos más adelante 
), por lo que por el momento, únicamente había que modificar el código Smali para que en lugar de pintar por pantalla la imagen aleatória almacenada en “localBitmap17″, se pintara el resultado de la llamada a la función “makeMeHappyAgain”:
En la imágen anterior, se puede apreciar cómo se modificó el código Smali original para que en la última llamada al método virtual “setImageBitmap”, en lugar de utilizar el valor “v1″, se utilizara el valor “v4″ que es la variable resultado de la llamada a la función “makeMeHappyAgain”, definido por la instrucción “move-result-object v4″.
Aunque a simple vista, una vez recompilado el código y ejecutado de nuevo parece ser que el código QR se genera correctamente, realmente no fue así 
Hay dos imágenes que no están correctamente posicionadas, lo cual no nos permitía escanear correctamente el QR y obtener la clave del reto. Para ello hay que hacer otra modificación del código Smali para hacer swap de las imágenes “c.png” (0x7f040002) y “g.png” (0x7f040006). Para obtener la relación entre las imágenes y sus correspondientes identificadores Hex hay que consultar el fichero “public.xml” almacenado en la carpeta de los resources (res) de la aplicación.
A continuación se muestra el código resultante de dicha modificación:
Finalmente, una vez recompilada, refirmada y reinstalada la aplicación se puede observar el código QR generado correctamente:
Y posteriormente, una vez escaneado, obtuvimos la SECRET KEY del Reto:
Solo nos queda felicitar a los 12 equipos que se han clasificado en la final que se celebrará el día 1 de Noviembre en el congreso NoConName 2013:
……y decir que logramos clasificarnos en 7º posición 
Así que nos vemos en la final!
