​​CTF с защитой от root и frida

Обычно CTF решаются с помощью установки приложения на рутованное устройство, запускается Фрида и погнали!

Но не в этот раз 😁 В этом шикарном CTF (осторожно, по ссылке загрузка apk) стоит детект рута и определение Frida, что делает его непохожим на остальные и достаточно сложным.

Автор в статье описывает всю последовательность действий для прохождения этого добра. Очень здоровский CTF, можно к себе попробовать утащить детект Фриды :D

#CTF #Frida #Android

Вебинар - Android Hacking Proving Ground

Уже сегодня (24 сентября) в 20:00 пройдет вебинар по анализу мобильных приложений (обязательна регистрация, а то не придет ссылка) от одного из активных участников OWASP и контрибьютора в MSTG из компании Acronis.

В программе:
- Вступление
- О себе
- Разнообразие мобильной безопасности
- Атака, защита и поиск ошибок в Android-приложениях
- CTF InjuredAndroid
- Демо различных атак
- Карьера в области безопасности мобильных приложений
- Полезные Ресурсы
- Вопросы и ответы

Может будет что-то интересное/полезное 😄

#Android #Webinar #CTF

​​Вторая часть прохождения CTF с защитой от root и frida

Вышла вторая и заключительная статья про прохождение безумно интересного и сложного CTF r2pay.

В этой части автор разбирает функцию JNI для генерации токена, исследует криптографические операции и в итоге вычисляет ключ шифрования.

Некоторые моменты в этой статье заставляют прочитать её более вдумчиво несколько раз и обязательно походить по ссылкам, чтобы понять, что же за магия там происходит.

#CTF #Android #Crypto

Crypto CTF

Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.

Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!

Спасибо автору за создание и за отсылки к похожим задачам!

Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉

#ctf #crypto

Занимательный CTF от TrendMicro

Вышел обзор занимательного CTF от компании TrendMicro.

Он примечателен тем, что для его решения не потребуется root-прав, Frida или подмены чего-либо в runtime. Всё что понадобится - jadx и adb 😁

CTF основан на понимании механизма интентов и различных компонентов Android. И некоторые из задач в том числе на сообразительность)

Попробовать стоит, ну или прочитать прохождение, хотябы ради этой фразы, да простят меня джава разработчики:

"It creates ContextFactoryFactory (yeah, Java developers love factories)"

😁😁

#Android #CTF #Writeup

​​Уязвимое банковское приложение для Android

Как подсказывает @testing_guy в нашем чате, совсем недавно релизнулся Damn Vulnerable Bank, то есть, уязвимый мобильный банк для Android. А значит, новый CTF и обучающее приложение.

Состоит из серверной части и клиентского приложения.

Может быть достаточно интересно, содержит в себе детект рута и запуска на эмуляторе, анти-дебаггинг проверки для отслеживания Фриды и ей подобными, webview и deeplink и много чего ещё.

Ну и интерфейс ничего, кому-то можно и на заметку взять 😂

#Android #ctf

​​Занятные CTF под Android

Нашёл тут серию статей про прохождению CTF при помощи Frida. Пока что есть первая и вторая части, но вроде автор собирается писать ещё.

В целом, writeup неплохие, с подробными комментами и описанием того, что и почему нужно делать для прохождения заданий.

Но больше всего мне понравились задания и сам CTF под названием hpandro. Распространяются через Google Play, есть большое количество самых различных задач в виде отдельных приложений, а на сайте можно зарегистрироваться и отправлять флаги и даже есть scoreboard!

Но больше всего мне запомнился комментарий под одним из приложений, наверное человек не смог его решить 😂

#android #ctf

Разбор CTF с использованием Frida

Вышла ещё статья из серии «решаем ctf при помощи Frida». Это уже пятая статья в серии, так что если не читали предыдущих, очень рекомендую посмотреть.

Данный мануал ещё интересен тем, что наглядно показывает, как можно искать и обходить наиболее популярные детекты root на Android. Конечно, в реальной жизни бывает сложнее, но как отправная точка отлично подойдет.

Ну а тем, кто задумывается или реализовывает детект в своем приложении, посмотреть, как это обходят и подумать над усложнением этой задачи 😉

#Android #CTF #frida

Bugbounty от Delivery

Вышла статья на Хабре от компании Delivery Club. Ребята подготовили специальный CTF для любителей поковырять Android-приложения!

Из описания, что нужно сделать:
1 скачайте приложение с tryharder.dclub.ru;
2 получите RCE на бэкенде;
3 и отправьте на tryharder`at`delivery-club.ru:
• отчет об уязвимости;
• содержание /opt/readme.txt на бэкенде;
• ник на Hackerone.

Награда интересная, приглашение в закрытую багбаунти и бонус в 1000$ за следующий найденный server-side баг.

Можно как раз посмотреть на выходных, если не ради награды, то для интереса, что же придумали наши коллеги :)

Всем удачного анализа 😁

#ctf #bounty #delivery

Анализ приложений при помощи Jadx и Frida

Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).

В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.

Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀

Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D

Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)

#https #frida #jadx #ctf #pinning #mitm