[안드로이드 리버싱] 코드엔진 (CodeEngn) Mobile App 01 번

SECURITY/Android Reversing

[안드로이드 리버싱] 코드엔진 (CodeEngn) Mobile App 01 번

\b\t 2022. 2. 9. 16:15

CodeEngn 에 Moblie App 관련 문제가 있어서, 이를 풀어보도록 하겠습니다.

다음 링크에서 문제 파일을 다운받으면 됩니다. (https://ch.codeengn.com/)

압축을 풀 때는 문제에 써있는 대로, File Password (codeengn) 를 입력해야 한다.

압축을 풀면 apk 파일이 하나 나온다.

먼저 이 apk 를 emulator 에 설치해보아야겠다.

참고로, emulator 를 shell 에서 실행시킬 수 있는데, 먼저 emulator 프로그램을 찾아야 한다.

나의 경우 \AppData\Local\Android\Sdk\emulator 에 있었고, 다음 친구를 찾으면 된다.

해당 폴더의 경로에서 다음의 명령어로 emulator 리스트를 보고 특정 emulator 를 실행시킬 수 있다.

$ emulator -list-avds
$ emulator -avd Nexus_5X_API_28

이제 실행된 에뮬레이터에 저 apk 를 깔아보자.

apk 는 드래그-드롭으로 에뮬레이터에 깔 수 있는데, 이 apk 는 오류를 뿜는다.

음.. 일단 jadx 로 apk 를 디컴파일 해보았다.

Security 로 어떤 string 을 복호화하는데, 이를 출력해주는 것을 볼 수 있다.

apk 만 실행시키면 이를 바로 볼 수 있을텐데, Security 소스를 보고 복호화 해봐야겠다.

쭉 보니 key 가 128bit 이고, 16 byte 를 위한 padding 을 주고 iv 를 넣어주는 것을 보아하니

AES-128 로 암복호화를 하는 것 같다. (mode 는 CBC?)

python 에서 Crypto 로 AES-128 암복호화를 적용해 보았는데, 결과가 이상하게 나오는 걸로 봐서는 KISA 랑 좀 다른 방식인가보다.

그래서 KISA 에서 제공하는 암호 알고리즘도 뜯어보았다.

KISA 에서는 다음과 같이 소스를 제공해서, JAVA 소스를 이용해서 해당 암호문의 복호화를 수행하도록 하겠다.

https://seed.kisa.or.kr/kisa/Board/17/detailView.do

소스 파일에 JAVA 코드로 CBC 내용이 있다.

// KISA_SEED_CBC.java
public static byte[] SEED_CBC_Encrypt( byte[] pbszUserKey, byte[] pbszIV, byte[] message, int message_offset, int message_length ) { ... }
public static byte[] SEED_CBC_Decrypt( byte[] pbszUserKey, byte[] pbszIV, byte[] message, int message_offset, int message_length ) { ... }

이 두 함수를 사용해서 복호화를 해볼 것이다.

다음과 같이 apk 를 디컴파일한 코드에서 암복호화를 KISA_SEED_CBC.java 의 함수를 사용하는 것으로 적절히 바꿔주었다.

import java.math.BigInteger;

public class SimpleAppSecurity {
	public static final byte[] key = {51, -46, 79, -113, 8, 34, 121, -15, -23, -13, -108, 55, 10, -44, 5, -119};
    public static final byte[] iv = {38, -115, 102, -89, 53, -88, 26, -127, 95, -70, -39, -6, 54, 25, 37, 19};

    public static String EncryptStr(String encText) {
        String encText2;
        if (encText == null || encText.equals("")) {
            encText2 = "";
        } else {
            byte[] plainText = encText.trim().getBytes();
            byte[] cipherText = KISA_SEED_CBC.SEED_CBC_Encrypt(key, iv, plainText, 0, plainText.length);
            encText2 = new String(new BigInteger(cipherText).toString(16));
        }
        return encText2.trim();
    }

    public static String DecryptStr(String decText) {
        if (decText == null || decText.equals("")) {
            return "";
        }
        byte[] cipherText = new BigInteger(decText.trim(), 16).toByteArray();
        byte[] plainText = KISA_SEED_CBC.SEED_CBC_Decrypt(key, iv, cipherText, 0, cipherText.length);
        return new String(plainText).trim();
    }
    
    public static void main(String[] args) {
    	// DecryptStr("-1aaa755a1e60915baff1d4cb64cb221a0000000000000000000000000000");
    	String result = DecryptStr("-1aaa755a1e60915baff1d4cb64cb221a");
    	System.out.println(result);   	
	}
}

결과로 flag 를 확인할 수 있었다.

주의할 점은 뒤에 padding 인 000...000 은 빼고 복호화를 해야 한다는 것이다.

apk 를 디컴파일해서 소스 내용을 보고 암호문을 푼 것은 맞으나

Android 문제를 Crypto + Code 느낌으로 풀어버려서 정석을 살펴보려고 apk 를 다시 뜯어보았다.

그러다 파일들을 보면 class 같이 파일 명이 일반적인 apk 랑 다른 것을 발견했다.

좌: L01 apk / 우: L02 apk

AndroidManIfests.xml -> AndroidManifest.xml
class.dex -> classes.dex
resource.arsc -> resources.arsc

이렇게 바꿔주고 압축시킨 후 확장자를 apk 로 바꿔주면 된다.

이걸 에뮬레이터에 깔아주면 되는데 ... 그래도 열리지 않아서 일단은 보류하고 있다.