DIVA.apk는 flag를 찾아서 문제를 푸는 형식이 아닌 취약점을 확인하는 것.
.
.
.
Objective : Find out what is hardcoded and where
Hint : Developers sometimes will hardcode sensitive information for ease.
목적 : 하드코딩이 무엇인지, 어디에 있는지 찾아라
힌트 : 개발자들은 종종 민감한 정보를 쉽게 하드코딩한다.
클래스 코드를 살펴보니 DivaJni의 access 함수가 파라미터로 사용되어 access granted 인지 denied 인지 비교가 되는 것 같다.
DivaJni 코드를 살펴보았다. "divajni"를 라이브러리를 로딩하고 있다.
라이브러리 폴더에서 라이브러리를 추출하면 여러 문자열이 뜨는데
딱 암호같은 하드코딩된 문자열 하나가 뜬다.
입력해주면 Access하는데 성공했다고 뜬다.
.
.
.
+)https://leemon.tistory.com/74
나처럼 대충 찍어 맞춘거 말고 다른 방법이 있나 찾아보니까 ida를 이용해 함수를 확인하여 확실히 하드코딩 된 문자열만 확인하는 방법도 있었다.
