hacktricks/mobile-pentesting/android-app-pentesting/smali-changes.md

# Smali - Décompilation/\[Modification]/Compilation

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

Parfois, il est intéressant de modifier le code de l'application pour accéder à des informations cachées (peut-être des mots de passe bien obfusqués ou des indicateurs). Ensuite, il peut être intéressant de décompiler l'APK, modifier le code et le recompiler.

**Référence des opcodes :** [http://pallergabor.uw.hu/androidblog/dalvik\_opcodes.html](http://pallergabor.uw.hu/androidblog/dalvik\_opcodes.html)

## Méthode rapide

En utilisant **Visual Studio Code** et l'extension [APKLab](https://github.com/APKLab/APKLab), vous pouvez **décompiler**, modifier, **recompiler**, signer et installer automatiquement l'application sans exécuter de commande.

Un autre **script** qui facilite beaucoup cette tâche est [**https://github.com/ax/apk.sh**](https://github.com/ax/apk.sh)****

## Décompiler l'APK

En utilisant APKTool, vous pouvez accéder au **code smali et aux ressources** :
```
apktool d APP.apk
```
Si **apktool** vous donne une erreur, essayez d'[installer la **dernière version**](https://ibotpeaches.github.io/Apktool/install/).

Certains **fichiers intéressants à examiner sont** :

* _res/values/strings.xml_ (et tous les fichiers XML à l'intérieur de res/values/\*)
* _AndroidManifest.xml_
* Tout fichier avec l'extension _.sqlite_ ou _.db_

Si `apktool` **rencontre des problèmes lors du décodage de l'application**, consultez [https://ibotpeaches.github.io/Apktool/documentation/#framework-files](https://ibotpeaches.github.io/Apktool/documentation/#framework-files) ou essayez d'utiliser l'argument **`-r`** (Ne pas décoder les ressources). Ainsi, si le problème se trouve dans une ressource et non dans le code source, vous n'aurez pas le problème (vous ne décompilerez pas non plus les ressources).

## Modifier le code Smali

Vous pouvez **modifier** les **instructions**, changer la **valeur** de certaines variables ou **ajouter** de nouvelles instructions. Je modifie le code Smali en utilisant [**VS Code**](https://code.visualstudio.com), vous pouvez ensuite installer l'extension **smalise** et l'éditeur vous indiquera si une **instruction est incorrecte**.\
Vous pouvez trouver quelques **exemples** ici :

* [Exemples de modifications Smali](smali-changes.md)
* [Google CTF 2018 - Shall We Play a Game?](google-ctf-2018-shall-we-play-a-game.md)

Ou vous pouvez [**voir ci-dessous quelques modifications Smali expliquées**](smali-changes.md#modifying-smali).

## Recompilez l'APK

Après avoir modifié le code, vous pouvez **recompiler** le code en utilisant :
```bash
apktool b . #In the folder generated when you decompiled the application
```
Il **compilera** le nouvel APK **à l'intérieur** du dossier _**dist**_.

Si **apktool** renvoie une **erreur**, essayez d'[installer la **dernière version**](https://ibotpeaches.github.io/Apktool/install/)

### **Signez le nouvel APK**

Ensuite, vous devez **générer une clé** (vous devrez entrer un mot de passe et quelques informations que vous pouvez remplir au hasard):
```bash
keytool -genkey -v -keystore key.jks -keyalg RSA -keysize 2048 -validity 10000 -alias <your-alias>
```
Enfin, **signez** le nouvel APK :
```bash
jarsigner -keystore key.jks path/to/dist/* <your-alias>
```
### Optimiser une nouvelle application

**zipalign** est un outil d'alignement d'archive qui offre des optimisations importantes aux fichiers d'application Android (APK). [Plus d'informations ici](https://developer.android.com/studio/command-line/zipalign).
```bash
zipalign [-f] [-v] <alignment> infile.apk outfile.apk
zipalign -v 4 infile.apk
```
### **Signer le nouvel APK (encore ?)**

Si vous **préférez** utiliser \[**apksigner**]\([**https://developer.android.com/studio/command-line/apksigner**](https://developer.android.com/studio/command-line/apksigner))\*\* au lieu de jarsigner, **vous devez signer l'APK** après avoir appliqué **l'optimisation avec** zipalign\*\*. MAIS REMARQUEZ QUE\*\* VOUS DEVEZ SIGNER L'APPLICATION UNE SEULE FOIS\*\* AVEC jarsigner (avant zipalign) OU AVEC aspsigner (après zipalign).
```bash
apksigner sign --ks key.jks ./dist/mycompiled.apk
```
## Modification de Smali

Pour le code Java Hello World suivant :
```
public static void printHelloWorld() {
System.out.println("Hello World")
}
```
Le code Smali serait le suivant :
```
.method public static printHelloWorld()V
.registers 2
sget-object v0, Ljava/lang/System;->out:Ljava/io/PrintStream;
const-string v1, "Hello World"
invoke-virtual {v0,v1}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V
return-void
.end method
```
L'ensemble d'instructions Smali est disponible [ici](https://source.android.com/devices/tech/dalvik/dalvik-bytecode#instructions).

### Modifications légères

### Modifier les valeurs initiales d'une variable à l'intérieur d'une fonction

Certaines variables sont définies au début de la fonction en utilisant l'opcode _const_, vous pouvez modifier leurs valeurs, ou vous pouvez en définir de nouvelles :
```
#Number
const v9, 0xf4240
const/4 v8, 0x1
#Strings
const-string v5, "wins"
```
### Opérations de base

In Android app pentesting, understanding the basic operations performed by an app is crucial. By analyzing the app's Smali code, we can gain insights into how the app functions and identify potential vulnerabilities.

#### Method Invocation

Method invocation is a fundamental operation in Smali code. It involves calling a method within the app's codebase. By examining the method invocation, we can determine the flow of execution and identify any sensitive operations being performed.

#### Variable Assignment

Variable assignment is another important operation in Smali code. It involves assigning a value to a variable within the app's codebase. By analyzing variable assignments, we can track the flow of data and identify any potential data leaks or insecure data handling.

#### Conditional Statements

Conditional statements are used to control the flow of execution based on certain conditions. In Smali code, these statements are typically represented by if-else or switch-case constructs. By analyzing conditional statements, we can identify any logic flaws or vulnerabilities that may exist in the app.

#### Looping Constructs

Looping constructs are used to repeat a block of code multiple times. In Smali code, these constructs are typically represented by for, while, or do-while loops. By analyzing looping constructs, we can identify any potential performance issues or vulnerabilities related to the loop's termination condition.

#### Exception Handling

Exception handling is used to handle runtime errors or exceptional conditions that may occur during the execution of an app. In Smali code, exception handling is typically done using try-catch blocks. By analyzing exception handling, we can identify any potential error handling vulnerabilities or insecure exception handling practices.

By understanding these basic operations in Smali code, we can effectively analyze an Android app's behavior and identify potential security weaknesses.
```
#Math
add-int/lit8 v0, v2, 0x1 #v2 + 0x1 and save it in v0
mul-int v0,v2,0x2 #v2*0x2 and save in v0

#Move the value of one object into another
move v1,v2

#Condtions
if-ge #Greater or equals
if-le #Less or equals
if-eq #Equals

#Get/Save attributes of an object
iget v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save this.o inside v0
iput v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save v0 inside this.o

#goto
:goto_6 #Declare this where you want to start a loop
if-ne v0, v9, :goto_6 #If not equals, go to: :goto_6
goto :goto_6 #Always go to: :goto_6
```
### Changements importants

### Journalisation
```
#Log win: <number>
iget v5, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Get this.o inside v5
invoke-static {v5}, Ljava/lang/String;->valueOf(I)Ljava/lang/String; #Transform number to String
move-result-object v1 #Move to v1
const-string v5, "wins" #Save "win" inside v5
invoke-static {v5, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I #Logging "Wins: <num>"
```
Recommandations :

* Si vous allez utiliser des variables déclarées à l'intérieur de la fonction (déclarées v0, v1, v2...), placez ces lignes entre _.local \<number>_ et les déclarations des variables (_const v0, 0x1_)
* Si vous souhaitez placer le code de journalisation au milieu du code d'une fonction :
* Ajoutez 2 au nombre de variables déclarées : Ex : de _.locals 10_ à _.locals 12_
* Les nouvelles variables doivent être les numéros suivants des variables déjà déclarées (dans cet exemple, il devrait s'agir de _v10_ et _v11_, rappelez-vous que cela commence par v0).
* Modifiez le code de la fonction de journalisation et utilisez _v10_ et _v11_ au lieu de _v5_ et _v1_.

### Toasting

N'oubliez pas d'ajouter 3 au nombre de _.locals_ au début de la fonction.

Ce code est prêt à être inséré au **milieu d'une fonction** (**modifiez** le nombre de **variables** selon les besoins). Il prendra la **valeur de this.o**, la **transformera** en **String** et **affichera** un **toast** avec sa valeur.
```
const/4 v10, 0x1
const/4 v11, 0x1
const/4 v12, 0x1
iget v10, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I
invoke-static {v10}, Ljava/lang/String;->valueOf(I)Ljava/lang/String;
move-result-object v11
invoke-static {p0, v11, v12}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v12
invoke-virtual {v12}, Landroid/widget/Toast;->show()V
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>