Hooking with frida Parte 4

Parte 4

• Hemos terminado con pew, ahora es el turno de usar crypt:

frida-boot:~/code$ cp ../software/crypt.c .
frida-boot:~/code$ gcc crypt.c -o crypt

• Correremos crypt para ver como funciona:

./crypt

• Supongamos que no tenemos el código fuente de crypt, procederemos analizarlo con:

  https://cloud.binary.ninja/

  • Reporte de análisis de crypt:

    • La condición correcta printeará Pwnd!!
    • test_pin debería devolver true (0x1) será satisfactoria.
    • test_pin testea el valor 0xd64.
    

    (usando la herramienta cutter)

• Vamos a hacer un análisis dinámico de test_pin.

  • Usaremos interceptor.attach() en test_pin.
  • ¿Cuáles son los valores de los argumentos y de return?

  var testPin = DebugSymbol.getFunctionByName("test_pin");
  
  Interceptor.attach(testPin, {
      onEnter: function(args) {
          console.log("test_pin(" + args[0] + ")");
      },
      onLeave: function(retval) {
          console.log(" => ret: " + retval);
      }
  });

• Vamos ha hacer un hexdump de la dirección del primer argumento

onEnter: function(args){ 
	console.log(hexdump(args[0]));
}

test_pin(0x7ffd83bf4952)
			  0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F   0123456789ABCDEF
7ffd83bf4952  31 32 33 34 0a 00 00 00 00 00 00 00 00 00 10 62  1234...........b
7ffd83bf4962  44 16 d4 55 00 00 0a 5d 75 49 de 7f 00 00 58 4a  D..U...]uI....XJ

• Podemos printear el string también:

onEnter: function(args) {
	console.log("test_pin(" + args[0].readCString().trim() + ")")
}

test_pin(1234)
 => ret: 0x0

• ¿Por tanto, es una situación sencilla?

  ◇ Cambiamos el valor a 0x1.

  ◇ Podría usarse retval.replace(ptr(“0x1”));

• Como se puede observar lo que he hecho ha sido cambiar el valor de retorno de la función test_pin, de tal forma que si meto cualquier número en este caso 123, pues el programa concluya por el flujo true!!.

• Esto está genial porque hemos cambiado el brach del programa, pero ¿Cuál es el verdadero pin?

  • ¿Y su pudiesemos llamar a test_pin() por nosotros mismos?, sabríamos el argumento y el tipo de retorno.
  • Otra nueva API de frida, reconstruye el comportamiento de la función:

  new NativeFunction(address, returnType, argTypes[, abi]);

  

  (Nos arroja 0 debido a que hemos testeado “1111“ y este número no es un pin válido).

• Por lo tanto, vamos a hacer un loop para hacer fuerza bruta al ping

  var testPinPtr = DebugSymbol.getFunctionByName("test_pin");
  var testPin = new NativeFunction(testPinPtr, "int", ["pointer"]); //Reconstruye la funcion
  
  for(var i = 0; i <= 9999; i++){
  		console.log("Trying: " + i.toString());
  		var pin = Memory.allocUtf8String(i.toString());
  		var r = testPin(pin);
  		if(r == 1){
  			console.log("Pin is: " + i.toString());
  			break;
  		}
  }

Hecho!!!, tenemos el pin.