Hacker101 CTF: Android Challenge Writups

બ્લોગ

ડિસક્લેમર

હું એન્ડ્રોઇડ મોબાઇલ એપ્લિકેશન સુરક્ષા વિશે વધુ જાણવા માટેની ઇચ્છાથી આ લેખ બનાવવા માટે પ્રેરિત થયો હતો. આ લખાણમાં દેખીતી રીતે સ્પોઇલર્સ હશે અને હું આ લેખ વાંચતા પહેલા વાચકોને આ સીટીએફનો પ્રયાસ કરવા પ્રોત્સાહિત કરું છું. આમાંના ઘણા પડકારોને શક્ય તેટલા હલ કરવાનો પ્રયાસ કરો અને પછી જો તમે અટકી જાવ અથવા પડકારને ઉકેલવા માટે સંભવિત રીતે અલગ અભિગમ જોવા માંગતા હો તો આ લેખ વાંચવા માટે પાછળથી આવો. કોઈપણ વધુ વિલંબ વિના, ચાલો કૂદીએ!




H1 થર્મોસ્ટેટ (સરળ, 2 ધ્વજ)

મેં આ એપ્લીકેશન એપીકે ફાઈલ ડાઉનલોડ કરીને અને મારા ઈમ્યુલેટર ડિવાઈસ પર ઈન્સ્ટોલ કરીને આ પડકારની શરૂઆત કરી એન્ડ્રોઇડ ડીબગ બ્રિજ ( ADB )

adb install thermostat.apk

એપ્લીકેશન ખોલી બતાવ્યું કે તેમાં માત્ર થર્મોસ્ટેટ અને ગેજ સાથે એક જ પ્રવૃત્તિ હતી, જેનાથી વપરાશકર્તા તાપમાન સેટિંગ વધારવા અથવા ઘટાડી શકે છે.



પોસ્ટ માટે છબી

આગળ, મેં એપીકે ફાઇલનો ઉપયોગ કરીને સ્થિર વિશ્લેષણ અહેવાલ બનાવ્યો મોબાઇલ સુરક્ષા ફ્રેમવર્ક ( MobSF ) સાધન. મેં તપાસ કરીને રિપોર્ટની સમીક્ષા શરૂ કરી AndroidManifest.xml ફાઇલ.



પોસ્ટ માટે છબી

મેનિફેસ્ટ ફાઇલને જોતા, હું જોઈ શકું છું કે એપ્લિકેશને માત્ર android.permission.INTERNET પરવાનગી, જે એપ્લિકેશનને નેટવર્ક સોકેટ્સ બનાવવાની મંજૂરી આપે છે. વિકાસકર્તાએ લક્ષણો સેટ કર્યા છે android: ClearextTraffic વાપરે છે અને android: allowBackup પ્રતિ સાચું જેનો અર્થ એ છે કે એપ્લિકેશન સ્પષ્ટ ટેક્સ્ટ ટ્રાફિકનો ઉપયોગ કરવા માંગે છે અને વપરાશકર્તા દ્વારા તેની સામગ્રીનો બેકઅપ લઈ શકાય છે.

એપ્લિકેશનમાં પણ માત્ર બે ઘટકો હોય તેવું લાગે છે. એ પ્રવૃત્તિ કહેવાય છે com.hacker101.level11.ThermosActivity ઉદ્દેશ ફિલ્ટર સાથે જાહેર કરવામાં આવી છે. એ સામગ્રી પ્રદાતા કહેવાય છે ProcessLifecycleOwnerInitializer પણ જાહેર કરવામાં આવી છે પરંતુ તે નિકાસ નથી. મેં માટે જાવા સ્રોત કોડની તપાસ કરવાનું નક્કી કર્યું com.hacker101.level11.ThermosActivity.

વેબસાઇટ માટે ચેટ બોક્સ HTML કોડ

પોસ્ટ માટે છબી

પ્રવૃત્તિના સ્રોત કોડને જોતા, મેં નોંધ્યું કે નેટવર્ક વિનંતી કરવામાં આવી રહી છે. _PayloadRequest _ નામનો વર્ગ આ નેટવર્ક વિનંતીની અંદર ઉપયોગમાં લેવાયો હતો, જે લીલા રંગમાં પ્રકાશિત થયો હતો. માટે સ્રોત કોડની તપાસ કરી રહ્યા છે પેલોડ વિનંતી વર્ગ, હું પડકાર માટે બંને ધ્વજ શોધી કાું છું.

પોસ્ટ માટે છબી

એવું લાગે છે કે એક ધ્વજનો ઉપયોગ કરીને હેશ કરવામાં આવ્યો છે MD5 અને પછી ** base64 ** એન્કોડેડ તરીકે ઓળખાતા હેડરમાં મૂલ્ય તરીકે ઉમેરવામાં આવે છે એક્સ-મેક . બીજો ધ્વજ ફક્ત હેડરમાં સાદા ટેક્સ્ટ મૂલ્ય તરીકે ઉમેરવામાં આવે છે એક્સ-ફ્લેગ . હું સાધનનો ઉપયોગ કરી શકું છું BurpSuite એપ્લિકેશન સાથે ક્રિયાપ્રતિક્રિયા કરતી વખતે આ નેટવર્ક વિનંતીને અટકાવવા માટે.

પોસ્ટ માટે છબી

ઉપરની છબીમાં જોયું તેમ, ઇન્ટરસેપ્ટેડ નેટવર્ક વિનંતી બતાવે છે એક્સ-મેક અને એક્સ-ફ્લેગ તેમના સમકક્ષ મૂલ્યો સાથે હેડરો. પ્રથમ પડકાર માટે સરસ અને સરળ!

#cybersecurity #android #hacker101 #કેપ્ચર-ધ-ફ્લેગ #ટેકનોલોજી

medium.com

Hacker101 CTF: Android Challenge Writups

આ લેખમાં, હું Android કેટેગરી માટે Hacker101 CTF (કેપ્ચર ધ ફ્લેગ) પડકારોને કેવી રીતે ઉકેલવું તે દર્શાવું છું. Hacker101 હેકરો માટે મફત શૈક્ષણિક સાઇટ છે, જે HackerOne દ્વારા સંચાલિત છે.