[BOB CTF 8th] - Summer Fan

문제 파일을 다운로드 받으면 Summer_Fan.apk 파일이 존재한다.

 

해당 앱을 설치하고 실행해보면 아래 처럼 선풍기를 돌리고 플래그를 얻을 수 있는 앱이 실행된다.

adb install Summer_Fan.apk

 

 

GET FLAG! 버튼을 클릭하게 되면 아래 화면처럼 나온다.

 

 

jadx를 통해 apk 파일의 소스코드를 보면 MainActivity에 다양한 함수들이 존재한다.

그 중 Start 버튼을 누르면 실행되는 startTimer(), Get Flag 버튼을 누려면 실행되는 checkTime(),

Flag를 생성하는 generateFlag() 함수가 있다.

private final void checkTime(Intent intent) {
    Toast.makeText(this, (((int) intent.getDoubleExtra(TimerService.TIME_EXTRA, 0.0d)) % 86400) / 3600 >= 31337 ? generateFlag() : "플래그를 주기엔 아직 너무 더운걸...", 0).show();
}

private final String generateFlag() {
    ArrayList arrayList = new ArrayList();
    int size = MainActivityKt.getFLAG().size();
    for (int i = 0; i < size; i++) {
        arrayList.add(Character.valueOf((char) ((MainActivityKt.getFLAG().get(i).intValue() ^ StringsKt.first(MainActivityKt.getKEY().get(i % MainActivityKt.getKEY().size()))) - gen(i))));
    }
    return CollectionsKt.joinToString$default(arrayList, "", null, null, 0, null, null, 62, null);
}

private final int gen(int i) {
    int size = MainActivityKt.getKEY().size();
    return (((int) Math.pow(i, 3.0d)) % 256) ^ StringsKt.first(MainActivityKt.getKEY().get(size - ((i % size) + 1)));
}

 

checkTime 함수내에 조건을 만족하면 generateFlag 함수를 실행해준다.

이에 Frida를 통해 startTime 함수를 후킹하여 generateFlag 함수를 실행해주는 방법으로 Flag를 출력했다.

 

frida -D emulator-5554 -f com.example.summer --no-pause -l generateFlagHook.js

# generateFlagHook.js

function generateFlagHook(){
	Java.perform(function(){
		var RootingDecteor = Java.use("com.example.summer.MainActivity");
		RootingDecteor.startTimer.implementation = function(){
			Java.choose("com.example.summer.MainActivity",{
				"onMatch":function(generateFlag){
					console.log(generateFlag.generateFlag());
				},
				"onComplete":function() {}
			})
		};
	})
}

generateFlagHook()