이번엔 모바일 앱 해킹 DIVA 취약점 2번째 Hardcoding Issues에 대해서 풀어보겠습니다.
2번을 클릭해서 들어가면 그냥 댈랑 창만 떠있습니다.
테스트삼아 아무렇게나 1234를 입력했더니 Access Denied 되었다는 Toast 메시지가 뜹니
1번과 달리 adb shell에서 logcat 정보를 띄워놨는데도 아무런 단서를 찾지 못했습니다.
홈으로 돌아와 앱을 꾹 누르면 추출이 가능합니다.
jadx-gui 앱을 열어 추출한 앱을 Open 합니다.
Navigation의 Text search를 누르면 원하는 텍스트를 검색할 수 있습니다.
아까 Toast 메시지에서 Access denied! See you in hell 이라는 문구가 떴기 때문에
이 문구를 전체 검색해보겠습니다.
검색결과 총 2가지에서 발견되었네요
그 중, 둘 다 클릭해보다가 HardcodeActivity를
클릭해서 보면 vendorsecretkey라는 글자가 아니면 전부 see you in hell을 내뱉습니다.
vendorsecretkey를 입력 후 ACCESS!
이제 접근 권한 받았다는 메시지가 뜹니다.
'해킹 > Mobile application Hacking' 카테고리의 다른 글
| [ Mobile App Hacking ] DIVA (0) | 2023.07.24 |
|---|---|
| [ Mobile App Hacking ] DIVA 앱 취약점 분석 #3 - Insecure Data Storage (0) | 2023.07.09 |
| [ Mobile App Hacking ] - DIVA 앱 취약점 분석 #1 - Insecure Logging (0) | 2023.07.05 |
| [ Mobile App Hacking ] Nox Player 설치 및 세팅 (1) | 2023.07.04 |
| [ Mobile App Hacking ] - Jadx-gui & Frida 설치 및 세팅 (0) | 2023.06.30 |
