Jump to content

Recommended Posts

Posted (edited)

Opa galera, bom dia/tarde!

Estou começando a fazer engenharia reversa na biblioteca libflutter.so, o intuito é para desativar o ssl pinnig e conseguir interceptar o tráfego em alguns app do meu celular. Minha questão é a seguinte, algumas das ferramentas que automatizam esse processo tentam encontrar valores Hard-coded (para essa biblioteca, o indicado era tentar encontrar a ssl_client ou a ssl_server), para localizar a função que faz a verificação se o certificado SSL é confiável ou não (consegui encontrá-la depois de um tempo mas não pelas strings). A função que faz essa verificação ssl, e a que eu tenho que encontrar, é essa abaixo:

image.thumb.png.8810a6c11680fcc4b74d41f18261b41a.png

O ponto é, quando você procura por essas strings na biblioteca elas são encontradas, mas em outros offsets e não na função, e não tem nenhuma referência à função de verificação. Porém essa função na minha biblioteca não tem as strings "ssl_client" e "ssl_server" diretamente. Eu acredito que na verificação de IF/ELSE, dependendo do resultado, ele vai formar o offset que irá direcionar para aquela string, mas como eu posso comprovar isso? Abaixo tem a imagem de como essas strings Hard-coded deveriam aparecer, e logo abaixo é como aparece na biblioteca que estou analisando. Também estarei deixando anexado a biblioteca que estou analisando para que possam entender melhor(A função está com nome FUN_00696870).

image.thumb.png.b3294419c4184ead4958207289e00d67.png

image.png.c22c61f654f0070cc5f12391656e0720.png

 

Só para demonstrar, as strings "ssl_client" e "ssl_server" aparecem na biblioteca dessa forma:

image.thumb.png.8d411b55d67a7a4514be600a17bd89bb.png

libflutter.so

Edited by Nitczi

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...