Smali — DĂ©compilation/[Modification]/Compilation

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

Parfois, il est intĂ©ressant de modifier le code de l’application pour accĂ©der Ă  des informations cachĂ©es pour vous (par exemple des mots de passe fortement obfusquĂ©s ou des flags). Dans ce cas, il peut ĂȘtre utile de dĂ©compiler l’apk, modifier le code et recompiler.

Opcodes reference: http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html

MĂ©thode rapide

En utilisant Visual Studio Code et l’extension APKLab, vous pouvez dĂ©compiler automatiquement, modifier, recompiler, signer et installer l’application sans exĂ©cuter la moindre commande.

Un autre script qui facilite grandement cette tĂąche est https://github.com/ax/apk.sh

DĂ©compiler l’APK

En utilisant APKTool vous pouvez accéder au smali code and resources:

apktool d APP.apk

Si apktool vous renvoie une erreur, essayez installing the latest version

Some interesting files you should look are:

  • res/values/strings.xml (and all xmls inside res/values/*)
  • AndroidManifest.xml
  • Any file with extension .sqlite or .db

If apktool has problems decoding the application take a look to https://ibotpeaches.github.io/Apktool/documentation/#framework-files or try using the argument -r (Do not decode resources). Then, if the problem was in a resource and not in the source code, you won’t have the problem (you won’t also decompile the resources).

Modifier le code smali

Vous pouvez modifier des instructions, changer la valeur de certaines variables ou ajouter de nouvelles instructions. Je modifie le code Smali en utilisant VS Code, you then install the smalise extension and the editor will tell you if any instruction is incorrect.
Some examples can be found here:

Or you can check below some Smali changes explained.

Recompiler l’APK

AprÚs avoir modifié le code, vous pouvez recompiler le code en utilisant:

apktool b . #In the folder generated when you decompiled the application

Il va compiler le nouvel APK dans le dossier dist.

Si apktool génÚre une erreur, try installing the latest version

Signer le nouvel APK

Ensuite, vous devez générer une clé (il vous sera demandé un mot de passe et quelques informations que vous pouvez remplir aléatoirement) :

keytool -genkey -v -keystore key.jks -keyalg RSA -keysize 2048 -validity 10000 -alias <your-alias>

Enfin, signez le nouvel APK:

jarsigner -keystore key.jks path/to/dist/* <your-alias>

Optimiser la nouvelle application

zipalign est un outil d’alignement d’archives qui apporte une optimisation importante aux fichiers d’application Android (APK). More information here.

zipalign [-f] [-v] <alignment> infile.apk outfile.apk
zipalign -v 4 infile.apk

Signer le nouvel APK (encore ?)

Si vous prĂ©fĂ©rez utiliser apksigner au lieu de jarsigner, vous devez signer l’apk aprĂšs avoir appliquĂ© l’optimisation avec zipaling. MAIS REMARQUEZ QUE VOUS N’AVEZ À SIGNER L’APPLICATION QU’UNE FOIS AVEC jarsigner (avant zipalign) OU AVEC aspsigner (aprĂšs zipaling).

apksigner sign --ks key.jks ./dist/mycompiled.apk

Modification de Smali

Pour le code Java Hello World suivant :

public static void printHelloWorld() {
System.out.println("Hello World")
}

Le code Smali serait:

.method public static printHelloWorld()V
.registers 2
sget-object v0, Ljava/lang/System;->out:Ljava/io/PrintStream;
const-string v1, "Hello World"
invoke-virtual {v0,v1}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V
return-void
.end method

L’ensemble d’instructions Smali est disponible ici.

Modifications légÚres

Modifier les valeurs initiales d’une variable dans une fonction

Certaines variables sont dĂ©finies au dĂ©but de la fonction en utilisant l’opcode const. Vous pouvez modifier leurs valeurs, ou en dĂ©finir de nouvelles :

#Number
const v9, 0xf4240
const/4 v8, 0x1
#Strings
const-string v5, "wins"

Opérations de base

#Math
add-int/lit8 v0, v2, 0x1 #v2 + 0x1 and save it in v0
mul-int v0,v2,0x2 #v2*0x2 and save in v0

#Move the value of one object into another
move v1,v2

#Condtions
if-ge #Greater or equals
if-le #Less or equals
if-eq #Equals

#Get/Save attributes of an object
iget v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save this.o inside v0
iput v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save v0 inside this.o

#goto
:goto_6 #Declare this where you want to start a loop
if-ne v0, v9, :goto_6 #If not equals, go to: :goto_6
goto :goto_6 #Always go to: :goto_6

Changements majeurs

Journalisation

#Log win: <number>
iget v5, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Get this.o inside v5
invoke-static {v5}, Ljava/lang/String;->valueOf(I)Ljava/lang/String; #Transform number to String
move-result-object v1 #Move to v1
const-string v5, "wins" #Save "win" inside v5
invoke-static {v5, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I #Logging "Wins: <num>"

Recommendations:

  • Si vous allez utiliser des variables dĂ©clarĂ©es Ă  l’intĂ©rieur de la fonction (dĂ©clarĂ©es v0, v1, v2
) placez ces lignes entre le .local et les dĂ©clarations des variables (const v0, 0x1)
  • Si vous voulez insĂ©rer le code de logging au milieu du code d’une fonction :
  • Ajoutez 2 au nombre de variables dĂ©clarĂ©es : Ex : de .locals 10 Ă  .locals 12
  • Les nouvelles variables doivent ĂȘtre les numĂ©ros suivants des variables dĂ©jĂ  dĂ©clarĂ©es (dans cet exemple il devrait s’agir de v10 et v11, souvenez-vous que ça commence en v0).
  • Modifiez le code de la fonction de logging et utilisez v10 et v11 au lieu de v5 et v1.

Toasting

N’oubliez pas d’ajouter 3 au nombre de .locals au dĂ©but de la fonction.

Ce code est prĂȘt Ă  ĂȘtre insĂ©rĂ© au milieu d’une fonction (changez le nombre des variables si nĂ©cessaire). Il prendra la valeur de this.o, la transformera en String puis affichera un toast avec sa valeur.

const/4 v10, 0x1
const/4 v11, 0x1
const/4 v12, 0x1
iget v10, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I
invoke-static {v10}, Ljava/lang/String;->valueOf(I)Ljava/lang/String;
move-result-object v11
invoke-static {p0, v11, v12}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v12
invoke-virtual {v12}, Landroid/widget/Toast;->show()V

Chargement d’une bibliothĂšque native au dĂ©marrage (System.loadLibrary)

Parfois, il est nĂ©cessaire de prĂ©charger une bibliothĂšque native afin qu’elle s’initialise avant d’autres libs JNI (par ex., pour activer la tĂ©lĂ©mĂ©trie/logging locale du processus). Vous pouvez injecter un appel Ă  System.loadLibrary() dans un static initializer ou tĂŽt dans Application.onCreate(). Exemple smali pour un static class initializer ():

.class public Lcom/example/App;
.super Landroid/app/Application;

.method static constructor <clinit>()V
.registers 1
const-string v0, "sotap"         # library name without lib...so prefix
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
return-void
.end method

Sinon, placez les mĂȘmes deux instructions au dĂ©but de votre Application.onCreate() pour vous assurer que la bibliothĂšque se charge le plus tĂŽt possible :

.method public onCreate()V
.locals 1

const-string v0, "sotap"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V

invoke-super {p0}, Landroid/app/Application;->onCreate()V
return-void
.end method

Remarques :

  • Assurez-vous que la variante ABI correcte de la bibliothĂšque existe sous lib// (par ex., arm64-v8a/armeabi-v7a) afin d’éviter UnsatisfiedLinkError.
  • Le chargement trĂšs prĂ©coce (class static initializer) garantit que le native logger peut observer l’activitĂ© JNI ultĂ©rieure.

Références

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks