Retos (CTF) - Cyber.co 2020 - Comando Conjunto Cibernético - Parte 7

Continuamos con la séptima entrega de los retos CTF propuesto por el Comando Conjunto Cibernético, si no has visto la sexta entrega haga clic aquí.

Parte 7

 
RETO # 29 - Points of Color
 
Descripción del Reto: “Mediante un trabajo coordinado con el equipo de inteligencia hemos obtenido un apk con códigos de acceso a uno de los servidores de una organización cibercriminal. Tu misión es encontrar esta información”


Nivel de dificultad: Difícil

Puntos asignados: 500

Formato de banderaQMISSION{flag}

Archivo adjunto del reto: PointsofColor.apk

SOLUCIONARIO:

Al descargar la aplicación e instalarla en nuestra emulador android procedemos a ejecutarla y navegar entre ella visualizamos las siguientes pantallas:

Al ver que solo nos muestra la tonalidad de colores, procedemos a analizar el código de la aplicación con la herramienta apktool y de d2j-dexjar para la obtención del jar.

Una vez con el jar procedemos a utilizar jd-gui para visualizar la estructura de la aplicación con el fin de analizar el código de manera mas fácil.

Identificamos que tenemos 6 Activitys los cuales son las pantallas de la aplicación, pero la aplicación solo nos muestra 4, analizamos el código y visualizamos que desde el Activity3 el método goActivity realiza el llamado al Activity5  y no al Activity4 el cual sería un orden lógico, esto nos genera sospecha y por ende los que necesitamos realizar es que el activity4 sea llamado desde el activity3 desde el método goActivity.

Procedemos a buscar el código del Main3Activity.smali el cual contiene el código de la aplicación que queremos modificar.

Abrimos el archivo “Main3Activity.smali”  con el fin de modificar la línea de código para que el llamado que está realizando a Main5Activity quede a Main4Activity.

Una vez realizado el cambio procedemos a compilar la aplicación.