CTF с защитой от root и frida
Обычно CTF решаются с помощью установки приложения на рутованное устройство, запускается Фрида и погнали!
Но не в этот раз 😁 В этом шикарном CTF (осторожно, по ссылке загрузка apk) стоит детект рута и определение Frida, что делает его непохожим на остальные и достаточно сложным.
Автор в статье описывает всю последовательность действий для прохождения этого добра. Очень здоровский CTF, можно к себе попробовать утащить детект Фриды :D
#CTF #Frida #Android
Обычно CTF решаются с помощью установки приложения на рутованное устройство, запускается Фрида и погнали!
Но не в этот раз 😁 В этом шикарном CTF (осторожно, по ссылке загрузка apk) стоит детект рута и определение Frida, что делает его непохожим на остальные и достаточно сложным.
Автор в статье описывает всю последовательность действий для прохождения этого добра. Очень здоровский CTF, можно к себе попробовать утащить детект Фриды :D
#CTF #Frida #Android
Вебинар - Android Hacking Proving Ground
Уже сегодня (24 сентября) в 20:00 пройдет вебинар по анализу мобильных приложений (обязательна регистрация, а то не придет ссылка) от одного из активных участников OWASP и контрибьютора в MSTG из компании Acronis.
В программе:
- Вступление
- О себе
- Разнообразие мобильной безопасности
- Атака, защита и поиск ошибок в Android-приложениях
- CTF InjuredAndroid
- Демо различных атак
- Карьера в области безопасности мобильных приложений
- Полезные Ресурсы
- Вопросы и ответы
Может будет что-то интересное/полезное 😄
#Android #Webinar #CTF
Уже сегодня (24 сентября) в 20:00 пройдет вебинар по анализу мобильных приложений (обязательна регистрация, а то не придет ссылка) от одного из активных участников OWASP и контрибьютора в MSTG из компании Acronis.
В программе:
- Вступление
- О себе
- Разнообразие мобильной безопасности
- Атака, защита и поиск ошибок в Android-приложениях
- CTF InjuredAndroid
- Демо различных атак
- Карьера в области безопасности мобильных приложений
- Полезные Ресурсы
- Вопросы и ответы
Может будет что-то интересное/полезное 😄
#Android #Webinar #CTF
Вторая часть прохождения CTF с защитой от root и frida
Вышла вторая и заключительная статья про прохождение безумно интересного и сложного CTF r2pay.
В этой части автор разбирает функцию JNI для генерации токена, исследует криптографические операции и в итоге вычисляет ключ шифрования.
Некоторые моменты в этой статье заставляют прочитать её более вдумчиво несколько раз и обязательно походить по ссылкам, чтобы понять, что же за магия там происходит.
#CTF #Android #Crypto
Вышла вторая и заключительная статья про прохождение безумно интересного и сложного CTF r2pay.
В этой части автор разбирает функцию JNI для генерации токена, исследует криптографические операции и в итоге вычисляет ключ шифрования.
Некоторые моменты в этой статье заставляют прочитать её более вдумчиво несколько раз и обязательно походить по ссылкам, чтобы понять, что же за магия там происходит.
#CTF #Android #Crypto
Crypto CTF
Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.
Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!
Спасибо автору за создание и за отсылки к похожим задачам!
Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉
#ctf #crypto
Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.
Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!
Спасибо автору за создание и за отсылки к похожим задачам!
Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉
#ctf #crypto
GitHub
GitHub - DamnVulnerableCryptoApp/DamnVulnerableCryptoApp: An app with really insecure crypto. To be used to see/test/exploit weak…
An app with really insecure crypto. To be used to see/test/exploit weak cryptographic implementations as well as to learn a little bit more about crypto, without the need to dive deep into the math...
Занимательный CTF от TrendMicro
Вышел обзор занимательного CTF от компании TrendMicro.
Он примечателен тем, что для его решения не потребуется root-прав, Frida или подмены чего-либо в runtime. Всё что понадобится - jadx и adb 😁
CTF основан на понимании механизма интентов и различных компонентов Android. И некоторые из задач в том числе на сообразительность)
Попробовать стоит, ну или прочитать прохождение, хотябы ради этой фразы, да простят меня джава разработчики:
"It creates ContextFactoryFactory (yeah, Java developers love factories)"
😁😁
#Android #CTF #Writeup
Вышел обзор занимательного CTF от компании TrendMicro.
Он примечателен тем, что для его решения не потребуется root-прав, Frida или подмены чего-либо в runtime. Всё что понадобится - jadx и adb 😁
CTF основан на понимании механизма интентов и различных компонентов Android. И некоторые из задач в том числе на сообразительность)
Попробовать стоит, ну или прочитать прохождение, хотябы ради этой фразы, да простят меня джава разработчики:
"It creates ContextFactoryFactory (yeah, Java developers love factories)"
😁😁
#Android #CTF #Writeup
Medium
Trend Micro CTF 2020 — Keybox writeup
Given Android app is called Keybox. it is a container for the flag and all the hints to it. The flag is encrypted
Уязвимое банковское приложение для Android
Как подсказывает @testing_guy в нашем чате, совсем недавно релизнулся Damn Vulnerable Bank, то есть, уязвимый мобильный банк для Android. А значит, новый CTF и обучающее приложение.
Состоит из серверной части и клиентского приложения.
Может быть достаточно интересно, содержит в себе детект рута и запуска на эмуляторе, анти-дебаггинг проверки для отслеживания Фриды и ей подобными, webview и deeplink и много чего ещё.
Ну и интерфейс ничего, кому-то можно и на заметку взять 😂
#Android #ctf
Как подсказывает @testing_guy в нашем чате, совсем недавно релизнулся Damn Vulnerable Bank, то есть, уязвимый мобильный банк для Android. А значит, новый CTF и обучающее приложение.
Состоит из серверной части и клиентского приложения.
Может быть достаточно интересно, содержит в себе детект рута и запуска на эмуляторе, анти-дебаггинг проверки для отслеживания Фриды и ей подобными, webview и deeplink и много чего ещё.
Ну и интерфейс ничего, кому-то можно и на заметку взять 😂
#Android #ctf
Занятные CTF под Android
Нашёл тут серию статей про прохождению CTF при помощи Frida. Пока что есть первая и вторая части, но вроде автор собирается писать ещё.
В целом, writeup неплохие, с подробными комментами и описанием того, что и почему нужно делать для прохождения заданий.
Но больше всего мне понравились задания и сам CTF под названием hpandro. Распространяются через Google Play, есть большое количество самых различных задач в виде отдельных приложений, а на сайте можно зарегистрироваться и отправлять флаги и даже есть scoreboard!
Но больше всего мне запомнился комментарий под одним из приложений, наверное человек не смог его решить 😂
#android #ctf
Нашёл тут серию статей про прохождению CTF при помощи Frida. Пока что есть первая и вторая части, но вроде автор собирается писать ещё.
В целом, writeup неплохие, с подробными комментами и описанием того, что и почему нужно делать для прохождения заданий.
Но больше всего мне понравились задания и сам CTF под названием hpandro. Распространяются через Google Play, есть большое количество самых различных задач в виде отдельных приложений, а на сайте можно зарегистрироваться и отправлять флаги и даже есть scoreboard!
Но больше всего мне запомнился комментарий под одним из приложений, наверное человек не смог его решить 😂
#android #ctf
Разбор CTF с использованием Frida
Вышла ещё статья из серии «решаем ctf при помощи Frida». Это уже пятая статья в серии, так что если не читали предыдущих, очень рекомендую посмотреть.
Данный мануал ещё интересен тем, что наглядно показывает, как можно искать и обходить наиболее популярные детекты root на Android. Конечно, в реальной жизни бывает сложнее, но как отправная точка отлично подойдет.
Ну а тем, кто задумывается или реализовывает детект в своем приложении, посмотреть, как это обходят и подумать над усложнением этой задачи 😉
#Android #CTF #frida
Вышла ещё статья из серии «решаем ctf при помощи Frida». Это уже пятая статья в серии, так что если не читали предыдущих, очень рекомендую посмотреть.
Данный мануал ещё интересен тем, что наглядно показывает, как можно искать и обходить наиболее популярные детекты root на Android. Конечно, в реальной жизни бывает сложнее, но как отправная точка отлично подойдет.
Ну а тем, кто задумывается или реализовывает детект в своем приложении, посмотреть, как это обходят и подумать над усложнением этой задачи 😉
#Android #CTF #frida
cmrodriguez.me
Cesar Rodriguez | Personal blog
frida ctf challenge root detection
Bugbounty от Delivery
Вышла статья на Хабре от компании Delivery Club. Ребята подготовили специальный CTF для любителей поковырять Android-приложения!
Из описания, что нужно сделать:
1 скачайте приложение с tryharder.dclub.ru;
2 получите RCE на бэкенде;
3 и отправьте на tryharder`at`delivery-club.ru:
• отчет об уязвимости;
• содержание /opt/readme.txt на бэкенде;
• ник на Hackerone.
Награда интересная, приглашение в закрытую багбаунти и бонус в 1000$ за следующий найденный server-side баг.
Можно как раз посмотреть на выходных, если не ради награды, то для интереса, что же придумали наши коллеги :)
Всем удачного анализа 😁
#ctf #bounty #delivery
Вышла статья на Хабре от компании Delivery Club. Ребята подготовили специальный CTF для любителей поковырять Android-приложения!
Из описания, что нужно сделать:
1 скачайте приложение с tryharder.dclub.ru;
2 получите RCE на бэкенде;
3 и отправьте на tryharder`at`delivery-club.ru:
• отчет об уязвимости;
• содержание /opt/readme.txt на бэкенде;
• ник на Hackerone.
Награда интересная, приглашение в закрытую багбаунти и бонус в 1000$ за следующий найденный server-side баг.
Можно как раз посмотреть на выходных, если не ради награды, то для интереса, что же придумали наши коллеги :)
Всем удачного анализа 😁
#ctf #bounty #delivery
Хабр
Delivery Club Tech, Москва - Лидер рынка FoodTech в России / Статьи
39 статей от авторов компании Delivery Club Tech
Анализ приложений при помощи Jadx и Frida
Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).
В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.
Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀
Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D
Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)
#https #frida #jadx #ctf #pinning #mitm
Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).
В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.
Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀
Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D
Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)
#https #frida #jadx #ctf #pinning #mitm
GitHub
Releases · skylot/jadx
Dex to Java decompiler. Contribute to skylot/jadx development by creating an account on GitHub.
Обход проверок на jailbreak, решение CTF от r2con2020
На прошедшей в прошлом году конференции r2con было множество крутых докладов и конечно, интересных CTF.
Небольшая статья о прохождении одного из CTF, а именно о втором задании в iOS, где необходимо было обойти проверку на jailbreak и как минимум запустить приложение.
Само собой, обычные решения, вроде objection не работают, поэтому приходится реверсить и смотреть, как это работает и какие проверки есть. Именно об этом и пишет автор статьи, как он прошел этот квест используя только radare2 и Frida.
Интересно почитать, особенно прикольная штука небольшой снипет-хак для SpringBoard, который предотвращает убийство процесса, если он не запустился воворемя (чтобы успеть отловить или захукать frid’ой нужные вещи).
#frida #ios #radare2 #ctf
На прошедшей в прошлом году конференции r2con было множество крутых докладов и конечно, интересных CTF.
Небольшая статья о прохождении одного из CTF, а именно о втором задании в iOS, где необходимо было обойти проверку на jailbreak и как минимум запустить приложение.
Само собой, обычные решения, вроде objection не работают, поэтому приходится реверсить и смотреть, как это работает и какие проверки есть. Именно об этом и пишет автор статьи, как он прошел этот квест используя только radare2 и Frida.
Интересно почитать, особенно прикольная штука небольшой снипет-хак для SpringBoard, который предотвращает убийство процесса, если он не запустился воворемя (чтобы успеть отловить или захукать frid’ой нужные вещи).
#frida #ios #radare2 #ctf
GitHub
GitHub - radareorg/r2con2020
Contribute to radareorg/r2con2020 development by creating an account on GitHub.
Writeup по простенькому Android CTF
Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022.
Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает.
Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например.
#smali #ctf #wtiteup
Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022.
Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает.
Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например.
#smali #ctf #wtiteup
Medium
NahamCon CTF 2022 Write-up: Click Me! Android challenge
NahamSec, John Hammond & few other folks hosted a CTF this weekend. I solved Android challenges, the challenges were really fun. I decided…
CTF под Android в Google Play со скорбордом и печеньками
Очень странно, что я не видел этих ребят раньше, мне казалось, что уже про них рассказывал, но тем не менее, весьма интересный и развивающийся проект - hpAndro!
Представляет из себя CTF для Android, написанный на котлин. На сайте доступен сеорборд и есть все шансы туда попасть 😎
Ну и в целом, всегда приятно немного поиграть, если есть время и силы :) в процессе можно попробовать новые инструменты и, если есть уже прохождение, попробовать найти другой способ получения флага!
Всем удачной игры и поиска багов!
P.S. У ребят ещё есть отличный канал на YouTube, где много разных видео, начиная с прохождения их CTF, заканчивая обзором разных инструментов, оч классно!
#android #ctf #tools
Очень странно, что я не видел этих ребят раньше, мне казалось, что уже про них рассказывал, но тем не менее, весьма интересный и развивающийся проект - hpAndro!
Представляет из себя CTF для Android, написанный на котлин. На сайте доступен сеорборд и есть все шансы туда попасть 😎
Ну и в целом, всегда приятно немного поиграть, если есть время и силы :) в процессе можно попробовать новые инструменты и, если есть уже прохождение, попробовать найти другой способ получения флага!
Всем удачной игры и поиска багов!
P.S. У ребят ещё есть отличный канал на YouTube, где много разных видео, начиная с прохождения их CTF, заканчивая обзором разных инструментов, оч классно!
#android #ctf #tools