Android Crackmes¶
Android UnCrackable L1¶
Uma string secreta está escondida em algum lugar deste aplicativo. Encontre uma maneira de extraí-la.
Instalação
Este aplicativo é compatível com Android 4.4 e superiores.
$ adb install UnCrackable-Level1.apk
SPOILER (Soluções)
- Solução usando Frida por c0dmtr1x
- Solução usando análise estática
- Solução usando jdb
- Solução usando Frida por Eduardo Novella
- Solução usando Xposed por sh3llc0d3r
- Solução usando RMS por @mobilesecurity_ (vídeo)
- Solução usando análise estática por Eduardo Vasconcelos
- Solução usando Frida por Davide Cioccia
- Solução usando MobSF por Jitendra Patro
Por Bernhard Mueller
Android UnCrackable L2¶
Este aplicativo contém um segredo interno. Pode incluir traços de código nativo.
Instalação
Este aplicativo é compatível com Android 4.4 e superiores.
$ adb install UnCrackable-Level2.apk
SPOILER (Soluções)
Por Bernhard Mueller. Agradecimentos especiais a Michael Helwig por encontrar e corrigir uma falha no mecanismo anti-adulteração.
Android UnCrackable L3¶
O crackme do inferno! Uma string secreta está escondida em algum lugar deste aplicativo. Encontre uma maneira de extraí-la.
Instalação
Este aplicativo é compatível com Android 4.4 e superiores.
$ adb install UnCrackable-Level3.apk
SPOILER (Soluções)
Por Bernhard Mueller. Agradecimentos especiais a Eduardo Novella por testar, fornecer feedback e apontar falhas nas versões iniciais.
Android UnCrackable L4¶
A comunidade Radare2 sempre sonhou com sua moeda descentralizada e gratuita para permitir que fãs do r2 realizem pagamentos em estabelecimentos e transfiram dinheiro entre usuários do r2. Uma versão de debug do aplicativo r2Pay foi desenvolvida e será suportada em breve em muitas lojas e websites. Você pode verificar se isso é criptograficamente inquebrável?
Dica: Execute o APK em um dispositivo não violado para interagir um pouco com o aplicativo.
- Existe um código PIN mestre que gera tokens verdes (também conhecidos como r2coins) na tela. Se você vir um r2coin vermelho, esse token não será validado pela comunidade. Você precisa descobrir o código PIN de 4 dígitos e o salt utilizado também. Flag:
r2con{PIN_NUMERIC:SALT_LOWERCASE} - Existe uma "chave mestra r2pay" enterrada em camadas de ofuscação e proteções. Você consegue quebrar a whitebox? Flag:
r2con{ascii(key)}
Versões:
v0.9- Lançamento para OWASP MAS: O código-fonte está disponível e a compilação foi suavizada de várias maneiras para tornar o desafio mais fácil e agradável para iniciantes.v1.0- Lançamento para R2con CTF 2020: Nenhum código-fonte está disponível e muitas proteções extras estão implementadas.
Instalação
Este aplicativo é compatível com Android 4.4 e superiores.
$ adb install r2pay-v0.9.apk
SPOILER (Soluções)
Criado e mantido por Eduardo Novella & Gautam Arvind. Agradecimentos especiais a NowSecure por apoiar este crackme.
Android License Validator¶
Um novo aplicativo Android desperta seu interesse. Claro, você está planejando comprar uma licença para o aplicativo eventualmente, mas ainda gostaria de testá-lo antes de gastar $1. Infelizmente, nenhum keygen está disponível! Gere uma chave serial válida que seja aceita por este aplicativo.
Instalação
Copie o binário para seu dispositivo Android e execute usando o shell.
$ adb push validate /data/local/tmp
[100%] /data/local/tmp/validate
$ adb shell chmod 755 /data/local/tmp/validate
$ adb shell /data/local/tmp/validate
Usage: ./validate <serial>
$ adb shell /data/local/tmp/validate 1234
Incorrect serial (wrong format).
$ adb shell /data/local/tmp/validate JACE6ACIARNAAIIA
Entering base32_decode
Outlen = 10
Entering check_license
Product activation passed. Congratulations!
SPOILER (Soluções)
Por Bernhard Mueller
MASTG Hacking Playground¶
Você gostou de trabalhar com os Crackmes? Tem mais! Vá para o MASTG Hacking Playground e descubra!