Smali - Decompiling/[Modifying]/Compiling

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

Czasami interesujące jest modyfikowanie kodu aplikacji, aby uzyskać dostęp do ukrytych informacji (może dobrze z obfuskowanymi hasłami lub flagami). Wtedy może być interesujące, aby zdekompilować apk, zmodyfikować kod i ponownie go skompilować.

Opcodes reference: http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html

Fast Way

Using Visual Studio Code and the APKLab extension, you can automatically decompile, modify, recompile, sign & install the application without executing any command.

Inny skrypt, który bardzo ułatwia to zadanie, to https://github.com/ax/apk.sh

Decompile the APK

Using APKTool you can access to the smali code and resources:

apktool d APP.apk

Jeśli apktool zgłasza jakikolwiek błąd, spróbuj zainstalować najowszą wersję

Niektóre interesujące pliki, które powinieneś sprawdzić to:

res/values/strings.xml (i wszystkie xml w res/values/*)
AndroidManifest.xml
Każdy plik z rozszerzeniem .sqlite lub .db

Jeśli apktool ma problemy z dekodowaniem aplikacji, sprawdź https://ibotpeaches.github.io/Apktool/documentation/#framework-files lub spróbuj użyć argumentu -r (Nie dekoduj zasobów). Wtedy, jeśli problem był w zasobie, a nie w kodzie źródłowym, nie będziesz miał problemu (nie zdekodujesz również zasobów).

Zmień kod smali

Możesz zmienić instrukcje, zmienić wartość niektórych zmiennych lub dodać nowe instrukcje. Zmieniam kod Smali używając VS Code, następnie instalujesz rozszerzenie smalise, a edytor powie ci, czy jakakolwiek instrukcja jest niepoprawna. Niektóre przykłady można znaleźć tutaj:

Lub możesz sprawdzić poniżej niektóre zmiany Smali wyjaśnione.

Przeładuj APK

Po modyfikacji kodu możesz przeładować kod używając:

apktool b . #In the folder generated when you decompiled the application

To skompilować nowy APK w folderze dist.

Jeśli apktool zgłosi błąd, spróbuj zainstalować najowszą wersję

Podpisz nowy APK

Następnie musisz wygenerować klucz (zostaniesz poproszony o hasło i o kilka informacji, które możesz wypełnić losowo):

keytool -genkey -v -keystore key.jks -keyalg RSA -keysize 2048 -validity 10000 -alias <your-alias>

Finally, podpisz nowy APK:

jarsigner -keystore key.jks path/to/dist/* <your-alias>

Optymalizuj nową aplikację

zipalign to narzędzie do wyrównywania archiwów, które zapewnia ważne optymalizacje plików aplikacji Android (APK). Więcej informacji tutaj.

zipalign [-f] [-v] <alignment> infile.apk outfile.apk
zipalign -v 4 infile.apk

Podpisz nowy APK (jeszcze raz?)

Jeśli wolisz używać apksigner zamiast jarsigner, musisz podpisać apk po zastosowaniu optymalizacji z zipalign. ALE ZWRÓĆ UWAGĘ, ŻE MUSISZ PODPISAĆ APLIKACJĘ TYLKO RAZ Z jarsigner (przed zipalign) LUB Z aspsigner (po zipalign).

apksigner sign --ks key.jks ./dist/mycompiled.apk

Modyfikacja Smali

Dla poniższego kodu Java Hello World:

public static void printHelloWorld() {
System.out.println("Hello World")
}

Kod Smali będzie:

.method public static printHelloWorld()V
.registers 2
sget-object v0, Ljava/lang/System;->out:Ljava/io/PrintStream;
const-string v1, "Hello World"
invoke-virtual {v0,v1}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V
return-void
.end method

Zestaw instrukcji Smali jest dostępny tutaj.

Lekkie zmiany

Modyfikacja początkowych wartości zmiennej wewnątrz funkcji

Niektóre zmienne są definiowane na początku funkcji za pomocą opkodu const, możesz modyfikować ich wartości lub możesz zdefiniować nowe:

#Number
const v9, 0xf4240
const/4 v8, 0x1
#Strings
const-string v5, "wins"

Podstawowe operacje

#Math
add-int/lit8 v0, v2, 0x1 #v2 + 0x1 and save it in v0
mul-int v0,v2,0x2 #v2*0x2 and save in v0

#Move the value of one object into another
move v1,v2

#Condtions
if-ge #Greater or equals
if-le #Less or equals
if-eq #Equals

#Get/Save attributes of an object
iget v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save this.o inside v0
iput v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save v0 inside this.o

#goto
:goto_6 #Declare this where you want to start a loop
if-ne v0, v9, :goto_6 #If not equals, go to: :goto_6
goto :goto_6 #Always go to: :goto_6

Większe zmiany

Rejestrowanie

#Log win: <number>
iget v5, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Get this.o inside v5
invoke-static {v5}, Ljava/lang/String;->valueOf(I)Ljava/lang/String; #Transform number to String
move-result-object v1 #Move to v1
const-string v5, "wins" #Save "win" inside v5
invoke-static {v5, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I #Logging "Wins: <num>"

Recommendations:

Jeśli zamierzasz używać zadeklarowanych zmiennych wewnątrz funkcji (zadeklarowane v0,v1,v2...) umieść te linie pomiędzy .local <number> a deklaracjami zmiennych (const v0, 0x1)
Jeśli chcesz umieścić kod logowania w środku kodu funkcji:
Dodaj 2 do liczby zadeklarowanych zmiennych: Przykład: z .locals 10 do .locals 12
Nowe zmienne powinny być następnymi numerami już zadeklarowanych zmiennych (w tym przykładzie powinny być v10 i v11, pamiętaj, że zaczyna się od v0).
Zmień kod funkcji logowania i użyj v10 i v11 zamiast v5 i v1.

Toasting

Pamiętaj, aby dodać 3 do liczby .locals na początku funkcji.

Ten kod jest przygotowany do wstawienia w środku funkcji (zmień numer zmiennych w razie potrzeby). Weźmie wartość this.o, przekształci ją na String i następnie wykona toast z jej wartością.

const/4 v10, 0x1
const/4 v11, 0x1
const/4 v12, 0x1
iget v10, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I
invoke-static {v10}, Ljava/lang/String;->valueOf(I)Ljava/lang/String;
move-result-object v11
invoke-static {p0, v11, v12}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v12
invoke-virtual {v12}, Landroid/widget/Toast;->show()V

Zgłębiaj swoją wiedzę w zakresie Bezpieczeństwa Mobilnego z 8kSec Academy. Opanuj bezpieczeństwo iOS i Androida dzięki naszym kursom w trybie samodzielnym i zdobądź certyfikat:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

PreviousReversing Native Libraries NextSpoofing your location in Play Store

Last updated 4 days ago