WaTF-Bank Write up [Part 1]

1. WaTF-Bank là gì?

WaTF-Bank (What-a-Terrible-Failure Mobile Banking Application), là một app mobile được thiết kế như một App Banking ngoài đời thực, chứa 30 lỗ hổng khác nhau. Mục tiêu xây dựng app này là:

  • Các nhà phát triển ứng dụng, lập trình viên và kiến trúc hệ thống có thể hiểu và cân nhắc cách tạo phần mềm an toàn bằng cách điều tra ứng dụng dễ bị tấn công (WaTF-Bank) trên cả nền tảng Android và iOS.
  • Pentester có thể thực hành kỹ năng đánh giá bảo mật để xác định và hiểu hàm ý của ứng dụng dễ bị tấn công.

2. Cài đặt WaTF-Bank

Download tại GitHub – WaTF-Team/WaTF-Bank: WaTF Bank – What a Terrible Failure Mobile Banking Application for Android and iOS

Down load SDK Platform Tools release notes  |  Android Developers

Download Download Android Studio and SDK tools  |  Android Developers

Liệt kê các thiết bị đang gắn:

Cài app WaTF vào điện thoại ảo, dùng câu lệnh như dưới đây, hoặc như tôi thì thường hay quẳng app thẳng vào cho nhanh.

adb.exe install <ứng dụng muốn cài đặt> 

Thực hiện đẩy file frida-server vào điện thoại ảo, kết nối từ adb tới điện thoại ảo qua shell

3. Khai thác WaTF-Bank

3.1. Bypass checkroot

Thực hiện chạy frida với script bypass checkroot

frida -U -f com.WaTF.WaTFBank -l <script_file> --no-paus

Sau khi bypass check root

Published by Nhat Truong

Hi

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: