Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​CTF с защитой от root и frida

Обычно CTF решаются с помощью установки приложения на рутованное устройство, запускается Фрида и погнали!

Но не в этот раз 😁 В этом шикарном CTF (осторожно, по ссылке загрузка apk) стоит детект рута и определение Frida, что делает его непохожим на остальные и достаточно сложным.

Автор в статье описывает всю последовательность действий для прохождения этого добра. Очень здоровский CTF, можно к себе попробовать утащить детект Фриды :D

#CTF #Frida #Android
Вебинар - Android Hacking Proving Ground

Уже сегодня (24 сентября) в 20:00 пройдет вебинар по анализу мобильных приложений (обязательна регистрация, а то не придет ссылка) от одного из активных участников OWASP и контрибьютора в MSTG из компании Acronis.

В программе:
- Вступление
- О себе
- Разнообразие мобильной безопасности
- Атака, защита и поиск ошибок в Android-приложениях
- CTF InjuredAndroid
- Демо различных атак
- Карьера в области безопасности мобильных приложений
- Полезные Ресурсы
- Вопросы и ответы

Может будет что-то интересное/полезное 😄

#Android #Webinar #CTF
​​Вторая часть прохождения CTF с защитой от root и frida

Вышла вторая и заключительная статья про прохождение безумно интересного и сложного CTF r2pay.

В этой части автор разбирает функцию JNI для генерации токена, исследует криптографические операции и в итоге вычисляет ключ шифрования.

Некоторые моменты в этой статье заставляют прочитать её более вдумчиво несколько раз и обязательно походить по ссылкам, чтобы понять, что же за магия там происходит.

#CTF #Android #Crypto
Crypto CTF

Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.

Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!

Спасибо автору за создание и за отсылки к похожим задачам!

Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉

#ctf #crypto
Занимательный CTF от TrendMicro

Вышел обзор занимательного CTF от компании TrendMicro.

Он примечателен тем, что для его решения не потребуется root-прав, Frida или подмены чего-либо в runtime. Всё что понадобится - jadx и adb 😁

CTF основан на понимании механизма интентов и различных компонентов Android. И некоторые из задач в том числе на сообразительность)

Попробовать стоит, ну или прочитать прохождение, хотябы ради этой фразы, да простят меня джава разработчики:

"It creates ContextFactoryFactory (yeah, Java developers love factories)"

😁😁

#Android #CTF #Writeup
​​Уязвимое банковское приложение для Android

Как подсказывает @testing_guy в нашем чате, совсем недавно релизнулся Damn Vulnerable Bank, то есть, уязвимый мобильный банк для Android. А значит, новый CTF и обучающее приложение.

Состоит из серверной части и клиентского приложения.

Может быть достаточно интересно, содержит в себе детект рута и запуска на эмуляторе, анти-дебаггинг проверки для отслеживания Фриды и ей подобными, webview и deeplink и много чего ещё.

Ну и интерфейс ничего, кому-то можно и на заметку взять 😂

#Android #ctf
​​Занятные CTF под Android

Нашёл тут серию статей про прохождению CTF при помощи Frida. Пока что есть первая и вторая части, но вроде автор собирается писать ещё.

В целом, writeup неплохие, с подробными комментами и описанием того, что и почему нужно делать для прохождения заданий.

Но больше всего мне понравились задания и сам CTF под названием hpandro. Распространяются через Google Play, есть большое количество самых различных задач в виде отдельных приложений, а на сайте можно зарегистрироваться и отправлять флаги и даже есть scoreboard!

Но больше всего мне запомнился комментарий под одним из приложений, наверное человек не смог его решить 😂

#android #ctf
Разбор CTF с использованием Frida

Вышла ещё статья из серии «решаем ctf при помощи Frida». Это уже пятая статья в серии, так что если не читали предыдущих, очень рекомендую посмотреть.

Данный мануал ещё интересен тем, что наглядно показывает, как можно искать и обходить наиболее популярные детекты root на Android. Конечно, в реальной жизни бывает сложнее, но как отправная точка отлично подойдет.

Ну а тем, кто задумывается или реализовывает детект в своем приложении, посмотреть, как это обходят и подумать над усложнением этой задачи 😉

#Android #CTF #frida
Bugbounty от Delivery

Вышла статья на Хабре от компании Delivery Club. Ребята подготовили специальный CTF для любителей поковырять Android-приложения!

Из описания, что нужно сделать:
1 скачайте приложение с tryharder.dclub.ru;
2 получите RCE на бэкенде;
3 и отправьте на tryharder`at`delivery-club.ru:
• отчет об уязвимости;
• содержание /opt/readme.txt на бэкенде;
• ник на Hackerone.

Награда интересная, приглашение в закрытую багбаунти и бонус в 1000$ за следующий найденный server-side баг.

Можно как раз посмотреть на выходных, если не ради награды, то для интереса, что же придумали наши коллеги :)

Всем удачного анализа 😁

#ctf #bounty #delivery
Анализ приложений при помощи Jadx и Frida

Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).

В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.

Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀

Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D

Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)

#https #frida #jadx #ctf #pinning #mitm
Обход проверок на jailbreak, решение CTF от r2con2020

На прошедшей в прошлом году конференции r2con было множество крутых докладов и конечно, интересных CTF.

Небольшая статья о прохождении одного из CTF, а именно о втором задании в iOS, где необходимо было обойти проверку на jailbreak и как минимум запустить приложение.

Само собой, обычные решения, вроде objection не работают, поэтому приходится реверсить и смотреть, как это работает и какие проверки есть. Именно об этом и пишет автор статьи, как он прошел этот квест используя только radare2 и Frida.

Интересно почитать, особенно прикольная штука небольшой снипет-хак для SpringBoard, который предотвращает убийство процесса, если он не запустился воворемя (чтобы успеть отловить или захукать frid’ой нужные вещи).

#frida #ios #radare2 #ctf
Writeup по простенькому Android CTF

Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022.

Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает.

Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например.

#smali #ctf #wtiteup
CTF под Android в Google Play со скорбордом и печеньками

Очень странно, что я не видел этих ребят раньше, мне казалось, что уже про них рассказывал, но тем не менее, весьма интересный и развивающийся проект - hpAndro!

Представляет из себя CTF для Android, написанный на котлин. На сайте доступен сеорборд и есть все шансы туда попасть 😎

Ну и в целом, всегда приятно немного поиграть, если есть время и силы :) в процессе можно попробовать новые инструменты и, если есть уже прохождение, попробовать найти другой способ получения флага!

Всем удачной игры и поиска багов!

P.S. У ребят ещё есть отличный канал на YouTube, где много разных видео, начиная с прохождения их CTF, заканчивая обзором разных инструментов, оч классно!

#android #ctf #tools