tmdahr1245

IDA의 설치 경로에 있는 dbgsrv 폴더에서 linux_serverx64를 우분투 서버로 복사한다.

서버에서 linux_serverx64를 실행시킨다.

디버깅 할 ELF파일을 IDA로 연다.

Remote Linux debugger로 선택한 후 디버깅을 실행한다.

Application 과 Input file에는 절대경로를 써주고 ip주소를 입력해주면 디버깅이 시작된다.

이렇게 올리디버거로 exe 파일 디버깅 하듯 

IDA로 elf 파일 디버깅 할 수 있다.

 리눅스 뿐만 아니라 윈도우 맥에서도 똑같이 디버깅 가능하다.

-포트번호가 22번일 때는 포트번호 생략가능

1.  Remote To Local 

scp -P 포트번호  사용자명@원격서버주소:해당파일경로 로컬위치

2. Remote Directory To Local 

scp -r -P 포트번호 사용자명@원격서버주소:해당디렉토리경로 로컬위치

3.  Local To Remote

scp -P 포트번호 로컬파일위치 사용자명@원격주소:원격서버경로

먼저 앱을 다운후 실행 시키려 했지만 설치가 안됨.

계속 해매다가 이상한점 발견.

일반적인 apk

문제 apk

맥에서 옳게 인식을 하면 맥 실행파일 아이콘이 나와야 하는데 문제의 apk는 인식을 못함 .

자세히 보니 파일명들이 이상한 것을 볼 수 있음.

class.dex -> classes.dex

resource.arsc -> resources.arsc

AndroidManIfests.xml -> AndroidManifest.xml

변경하면 정상적으로 설치가 됨.

실행하면 키값이 뜸.

MainActivity를 살펴보면 앱이 켜질때 2013년 11월 2일 12시 35분 3초 이면서 Volume 함수의 리턴값이 53이어야 키값이 뜬다.

makeDate함수와 Volume함수를 조건에 맞도록 수정하는 방법도 있지만 

그냥 조건문 다음에 this.aView.setText(keyString)) 함수를 한번더 호출 하도록 Smali 코드를 패치했다.

1. ==== Example 1 ====
3. .method private isValid([Ljava/lang/String;[Ljava/lang/String;Ljava/math/BigInteger;)Ljava/lang/Boolean;
4.     .locals 7 // 메소드 내부에서 사용하는 레지스터 수 ex. v1~v7
5.     .parameter "issuerDN" // 파라미터 이름, 뒤에서부터, p3
6.     .parameter "subjectDN" // p2
7.     .parameter "serial" // p1      
9. .prologue
10.     const/4 v6, 0x4 // v6 = 0x4
11.     const/4 v5, 0x3 // v5 = 0x3
12.     const/4 v4, 0x2 // v4 = 0x2
13.     const/4 v3, 0x1 // v3 = 0x1
14.     const/4 v2, 0x0 // v2 = 0x0
16. .line 103
17.     aget-object v0, p1, v2   // v0 = p1[v2],  v0 = serial[v2], array[] (p1)의 특정 index(v2) 의 값을 v0에 저장
19.     // p0 는 this 인듯...
20.     iget-object v1, p0, Lops/black/herpderper/TrustModifier$AlwaysTrustManager;->CN1:Ljava/lang/String; // v1 = this.AlwaysTrustManager->C1
21.     invoke-virtual {v0, v1}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z // v0 = String->equals(v0, v1);
22.     move-result v0
23.     if-eqz v0, :cond_0 // v0가 0 이면 cond_0 로 점프
25.     aget-object v0, p1, v3
26.     iget-object v1, p0, Lops/black/herpderper/TrustModifier$AlwaysTrustManager;->OU:Ljava/lang/String; // AlwaysTrustManager->OU
27.     invoke-virtual {v0, v1}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z
28.     move-result v0
29.     if-eqz v0, :cond_0 // if(v0 == 0) goto cond_0;
31.     ...
33.     .line 119
34.     invoke-static {v3}, Ljava/lang/Boolean;->valueOf(Z)Ljava/lang/Boolean; //  v0 = Boolean->valueOf(v3);
35.     move-result-object v0
37.     .line 121
38.     :goto_0
39.     return-object v0 // return v0;
41.     :cond_0
42.     invoke-static {v2}, Ljava/lang/Boolean;->valueOf(Z)Ljava/lang/Boolean;  // v0 = Boolean->valueOf(v2); // v2=0=false
44.     move-result-object v0
46.     goto :goto_0
48. ==== Result 1 ====
50. private Boolean isValid(String[] serial, String[] subjectDN, BigInteger issuerDN) {
51.   v6=4;
52.   v5=3;
53.   v4=2;
54.   v3=1;
55.   v2=0;
57.   v0 = serial[v2];
59.   v1 = AlwaysTrustManager->C1;
60.   v0 = String->equals(v0, v1);
61.   if(v0 == 0)
62.      goto cond_0;
64.   v0 = serial[v3];
65.   v1 = AlwaysTrustManager->OU;
66.   v0 = String->equals(v0, v1);
67.   if(v0 == 0)
68.      goto cond_0;
70.   ...
72.   v0 = Boolean->valueOf(v3); // v3=1=true
74.   :goto_0
75.   return v0;
77.   :cond_0
78.   v0 = Boolean->valueOf(v2); // v2=0=false
79.   goto: goto_0;
81. ==== Example 2 ====
83. # virtual methods
84. .method protected varargs doInBackground([Ljava/lang/String;)Ljava/lang/String;
85.     .locals 17
86.     .parameter "uri"
88.     .prologue
89.     .line 28
90.     invoke-static {}, Landroid/os/Debug;->isDebuggerConnected()Z
92.     move-result v14
94.     if-eqz v14, :cond_0
96.     .line 29
97.     const/16 v14, 0x539
99.     div-int/lit8 v14, v14, 0x0
101.     .line 31
102.     :cond_0
103.     const/4 v11, 0x0
105.     .line 34
106.     .local v11, url:Ljava/net/URL;
107.     :try_start_0
108.     new-instance v12, Ljava/net/URL;
110.     const/4 v14, 0x0
112.     aget-object v14, p1, v14
114.     invoke-direct {v12, v14}, Ljava/net/URL;-><init>(Ljava/lang/String;)V // <init>() 괄호 안에 변수 갯수 = 파라미터 갯수, 즉 v14만 파라미터 v12 는 리턴값 저장
115.     :try_end_0
116.     .catch Ljava/net/MalformedURLException; {:try_start_0 .. :try_end_0} :catch_1
118.     .end local v11           #url:Ljava/net/URL; // 이런건 다 코멘트
119.     .local v12, url:Ljava/net/URL;
120.     move-object v11, v12
122.     .line 41
123.     .end local v12           #url:Ljava/net/URL;
124.     .restart local v11       #url:Ljava/net/URL;
125.     :goto_0
126.     const/4 v13, 0x0
128.     .line 44
129.     .local v13, urlConnection:Ljava/net/HttpURLConnection;
130.     :try_start_1
131.     invoke-virtual {v11}, Ljava/net/URL;->openConnection()Ljava/net/URLConnection;
133.     move-result-object v14
135.     move-object v0, v14
137.     check-cast v0, Ljava/net/HttpURLConnection;
139.     move-object v13, v0
141.     .line 47
142.     const/4 v14, 0x1
144.     invoke-virtual {v13, v14}, Ljava/net/HttpURLConnection;->setDoOutput(Z)V // Z -> 하나의 파라미터 나타냄, v13.HttpURLConnection->setDoOutput(v14);
146.     .line 48
147.     const-string v14, "POST"
149.     invoke-virtual {v13, v14}, Ljava/net/HttpURLConnection;->setRequestMethod(Ljava/lang/String;)V
151.     .line 51
152.     invoke-static {v13}, Lops/black/herpderper/TrustModifier;->relaxHostChecking(Ljava/net/HttpURLConnection;)V
154.     .line 52
155.     invoke-virtual {v13}, Ljava/net/HttpURLConnection;->getOutputStream()Ljava/io/OutputStream;
157.     move-result-object v5
159.     .line 55
160.     .local v5, out:Ljava/io/OutputStream; // v5 = get_OutputStream();
161.     const/4 v14, 0x1
163.     aget-object v14, p1, v14
165.     const-string v15, "UTF-8"
166.     ...
168.   :catch_1
169.     move-exception v1
171.     .line 38
172.     .local v1, e1:Ljava/net/MalformedURLException;
173.     invoke-virtual {v1}, Ljava/net/MalformedURLException;->printStackTrace()V
175.     goto/16 :goto_0
177. ==== Result 2 ====
179. protected String doInBackground(String[] uri) {
180.   v14 = android.os.Debug.isDebuggerConnected();
182.   if(v14==0)
183.     goto cond_0;
185.   v14 = 0x539;
186.   v14 = v14 / 0;
188.   :cond_0
189.   v11 = 0;
190.   v11 = url:Ljava/net/URL;
192.   :try_start_0
193.   v12 = java/net/URL;
194.   v14 = 0;
195.   v14 = uri[v14]; // v14 = uri[0];
196.   v12 = URL->init(v14);
198.   :try_end_0
199.   .catch MalformedURLException :catch_1
201.   v11 = (java/net/URL) v12;
203.   :goto_0
204.    v13 = 0;
205.    v13 = (HttpURLConnection) v13;
207.   :try_start_1
208.    v14 = URL->openConnection(v11);
209.    v0 = v14;
210.    v0 = (HttpURLConnection) v0;
211.    v13 = v0;
212.    v14 = 1;
214.    v13.setDoOutput(v14);
216.    v14 = "POST";
218.    v13.setRequestMethod(v14);
219.    ops.black.herpderper.TrustModifier.relaxHostChecking(v13);
220.    v5 = getOutputStream(v13);
221.    v14 = 1;
222.    v14 = uri[v14];

디컴파일 해보니 랜덤으로 생성된 stairs와 내가 올라가야할 stairs가 있다.

랜덤으로 생성된 번호까지 내가 클릭을 하면 키값이 나온다.

TextView 2개가 있는데 첫번째는 랜덤으로 생성된 수 두번째는 내가 클릭할 때마다 증가되는 수.

조건에서 랜덤값과 내값이 다르다면 증가만하고 return 된다.

즉 조건문만 바꿔주면 키값이 뜬다.

호환이 안되서인지 랜덤으로 생성된 수가 보이지 않는다.

Smali코드에서 두번째 TextView에 eq이 아니라 ne일때 cond_0으로 점프하게 하면 키값이 뜰것이다.

Smali코드 패치후 컴파일 한후 버튼을 누르면 바로 키값이 뜬다.

xinetd란

-> inetd가 관리하는 포트에 접속 요청이 들어오면 inetd는  tcpd 프로그램에 요청을 넘기고 tcpd는 hosts.{allow|deny} 파일 규칙에 따라 허락여부를 결정.

    허락된 요청에 대해 서버 프로세스가 시작된다.

쉽게말해 대회 때 nc나 클라이언트측 소켓 짤때 서버측 소켓 짤 필요없이 xinetd가 서버에서 통신해줌.

설치

apt-get install xinetd

세팅

vi /etc/xinetd.conf

# Simple configuration file for xinetd

#

# Some defaults, and include /etc/xinetd.d/

defaults

{

# Please note that you need a log_type line to be able to use log_on_success

# and log_on_failure. The default is the following :

# log_type = SYSLOG daemon info

}

#Telnet Setting

service telnet{

        disable=no

        flag= REUSE

        socket_type=stream

        wait=no

        user=root

        server=/usr/sbin/in.telnetd

        log_on_failure+=USERID

}

includedir /etc/xinetd.d

vi /etc/services

맨 밑에

서비스명            포트번호/tcp

vi /etc/xinetd.d/서비스명

service 서비스명

{

        flags = REUSE

        socket_type = stream

        wait = no

        user = root//권한(관리자 권한으로 해놓으면 해커들에의해 권한이 따일수도)

        server = /tmp/test_file//실행될 파일의 경로

        disable = no

}

/etc/init.d/xinetd restart  //서비스 재시작

ex)

xinetd로 돌아가는 프로그램은 사용자의 입력을 그대로 받는다.

즉 scanf 든 gets 든 알아서 입력을 처리해줌

https://developer.android.com/ndk/index.html

에서 ndk 다운후 압축 해제.

sdk를 설치한 디렉토리에 ndk 복사.

sdk와 마찬가지로  환경변수 PATH에 ndk경로 추가.{

vi ~/.bash_profile{

export PATH=$PATH:/ndk경로

}

source ~/.bash_profile

}

안드로이드 스튜디오에서 javah 설정

preference -> tools -> external tools 

javah를 사용하려면 당연히 jdk 설치

Android 에서 Project로 변경후  src/main 디렉토리에서 우클릭 후 JNI 폴더 생성.

JNI구현 순서

자바코드 작성

컴파일후 클래스 파일 얻기

javah로 클래스에서 헤더파일 생성

생성한 헤더파일로 c/c++ 코딩

c/c++ 컴파일해서 라이브러리 생성

자바코딩된 어플리케이션에 라이브러리를 포함한 apk생성

원하는 클래스 생성뒤 사용하고싶은 함수 선언.

public class socket {
    static {
        System.loadLibrary("모듈명");
    }
    public static native String check(String str);
}

클래스 밑 함수 선언후 clean Project , Rebuild Project 해야함 안하면 클래스인식못해서 헤더파일 생성안댐

그 후에 생성한 클래스에서 우클릭후 javah 클릭 

우클릭 했을 때 NDK랑 javah 안뜨면 external tools 설정 안했기 때문.

jni폴더에 헤더파일 생성되었고 

JNIEXPORT jstring JNICALL Java_com_example_tmdahr1245_problem_socket_check(JNIEnv* env, jclass jc, jstring jstr);

헤더파일내 내가 위에서 사용하고 싶은 함수가 문법에 맞춰 선언되어있음.

JNIEnv, jclass는 반드시 인자값으로 들어가야 하며 내가 원하는 인자값을 만들때마다 뒤에 하나씩 추가댐

jstring을 c언어 char*로 변환할 때 

const char* str = (*env)->GetStringUTFChars(env, jstr, JNI_FALSE);

c언어 char*을 jstring으로 변환할 때 

jstring ret=(*env)->NewStringUTF(env, str);

이제 jni폴더에 c/cpp 파일 생성해서 

#include"com_example_tmdahr1245_problem_socket.h"

해주고 c언어로 코딩하면 사용가능

후에 설정해야 하는것은 

app/build.gradle에서

defaultConfig {
    applicationId "com.example.tmdahr1245.problem"
    minSdkVersion 15
    targetSdkVersion 24
    versionCode 1
    versionName "1.0"

    ndk{
        moduleName"모듈명"
   }
}

gradle/gradle.properties에서

android.useDeprecatedNdk=true

gradle/local.properties 에서

ndk.dir=/Users/tmdahr1245/Library/Android/ndk/android-ndk-r12b(ndk 경로)

소캣 통신 할때에는 당연히 android_manifest.xml 에서

<uses-permission android:name="android.permission.INTERNET"/>

코드상 틀린게 없는데 안되면 안드로이드 스튜디오 껏다 키기