hacktricks/mobile-pentesting/android-app-pentesting/smali-changes.md

# Smali - Dekompilowanie/[Modyfikowanie]/Kompilowanie

<details>

<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

Czasami interesujące jest zmodyfikowanie kodu aplikacji, aby uzyskać dostęp do ukrytych informacji (może to być dobrze zaszyfrowane hasła lub flagi). W takim przypadku warto zdekompilować plik apk, zmodyfikować kod i ponownie go skompilować.

**Odwołanie do instrukcji:** [http://pallergabor.uw.hu/androidblog/dalvik\_opcodes.html](http://pallergabor.uw.hu/androidblog/dalvik\_opcodes.html)

## Szybki sposób

Korzystając z **Visual Studio Code** i rozszerzenia [APKLab](https://github.com/APKLab/APKLab), można **automatycznie dekompilować**, modyfikować, **rekompilować**, podpisać i zainstalować aplikację bez wykonywania żadnych poleceń.

Innym **skryptem**, który bardzo ułatwia to zadanie, jest [**https://github.com/ax/apk.sh**](https://github.com/ax/apk.sh)

## Dekompilacja APK

Korzystając z APKTool, można uzyskać dostęp do **kodu smali i zasobów**:
```bash
apktool d APP.apk
```
Jeśli **apktool** wyświetla jakikolwiek błąd, spróbuj [zainstalować **najnowszą wersję**](https://ibotpeaches.github.io/Apktool/install/).

Niektóre **interesujące pliki, na które powinieneś zwrócić uwagę**, to:

* _res/values/strings.xml_ (oraz wszystkie xml-e wewnątrz res/values/\*)
* _AndroidManifest.xml_
* Dowolny plik z rozszerzeniem _.sqlite_ lub _.db_

Jeśli `apktool` **ma problemy z dekodowaniem aplikacji**, zajrzyj na stronę [https://ibotpeaches.github.io/Apktool/documentation/#framework-files](https://ibotpeaches.github.io/Apktool/documentation/#framework-files) lub spróbuj użyć argumentu **`-r`** (Nie dekoduj zasobów). Wtedy, jeśli problem występował w zasobie, a nie w kodzie źródłowym, nie będziesz mieć tego problemu (nie zdekodujesz również zasobów).

## Zmiana kodu smali

Możesz **zmieniać** **instrukcje**, zmieniać **wartość** niektórych zmiennych lub **dodawać** nowe instrukcje. Ja zmieniam kod Smali za pomocą [**VS Code**](https://code.visualstudio.com), następnie instalujesz **rozszerzenie smalise** i edytor powie Ci, czy któraś **instrukcja jest niepoprawna**.\
Kilka **przykładów** można znaleźć tutaj:

* [Przykłady zmian w Smali](smali-changes.md)
* [Google CTF 2018 - Shall We Play a Game?](google-ctf-2018-shall-we-play-a-game.md)

Możesz również [**sprawdzić poniżej wyjaśnienia niektórych zmian w Smali**](smali-changes.md#modifying-smali).

## Ponowne skompilowanie APK

Po zmodyfikowaniu kodu możesz **ponownie skompilować** kod za pomocą:
```bash
apktool b . #In the folder generated when you decompiled the application
```
Skompiluje nowy plik APK wewnątrz folderu _**dist**_.

Jeśli **apktool** wygeneruje **błąd**, spróbuj [zainstalować **najnowszą wersję**](https://ibotpeaches.github.io/Apktool/install/).

### **Podpisz nowy plik APK**

Następnie musisz **wygenerować klucz** (zostaniesz poproszony o hasło i pewne informacje, które możesz wypełnić losowo):
```bash
keytool -genkey -v -keystore key.jks -keyalg RSA -keysize 2048 -validity 10000 -alias <your-alias>
```
W końcu, **podpisz** nowy plik APK:
```bash
jarsigner -keystore key.jks path/to/dist/* <your-alias>
```
### Optymalizacja nowej aplikacji

**zipalign** to narzędzie do wyrównywania archiwów, które zapewnia ważne optymalizacje plików aplikacji Android (APK). [Więcej informacji tutaj](https://developer.android.com/studio/command-line/zipalign).
```bash
zipalign [-f] [-v] <alignment> infile.apk outfile.apk
zipalign -v 4 infile.apk
```
### **Podpisz nowy APK (ponownie?)**

Jeśli wolisz używać [**apksigner**](https://developer.android.com/studio/command-line/) zamiast jarsigner, **powinieneś podpisać apk** po zastosowaniu optymalizacji za pomocą zipalign. ALE ZWRÓĆ UWAGĘ, ŻE MUSISZ PODPISAĆ APLIKACJĘ TYLKO RAZ Z jarsigner (przed zipalign) LUB Z aspsigner (po zipalign).
```bash
apksigner sign --ks key.jks ./dist/mycompiled.apk
```
## Modyfikowanie Smali

Dla następującego kodu Hello World w języku Java:
```java
public static void printHelloWorld() {
System.out.println("Hello World")
}
```
Kod Smali będzie wyglądał następująco:
```java
.method public static printHelloWorld()V
.registers 2
sget-object v0, Ljava/lang/System;->out:Ljava/io/PrintStream;
const-string v1, "Hello World"
invoke-virtual {v0,v1}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V
return-void
.end method
```
Zestaw instrukcji Smali jest dostępny [tutaj](https://source.android.com/devices/tech/dalvik/dalvik-bytecode#instructions).

### Lekkie zmiany

### Modyfikowanie początkowych wartości zmiennej wewnątrz funkcji

Niektóre zmienne są definiowane na początku funkcji za pomocą opcode'u _const_, możesz zmieniać ich wartości lub definiować nowe:
```bash
#Number
const v9, 0xf4240
const/4 v8, 0x1
#Strings
const-string v5, "wins"
```
### Podstawowe operacje

#### Tworzenie nowej klasy

Aby utworzyć nową klasę w pliku Smali, należy utworzyć nowy plik o rozszerzeniu `.smali` i umieścić go w odpowiednim katalogu zgodnie z hierarchią pakietów. Następnie należy zdefiniować nazwę klasy, używając dyrektywy `.class` i określić dziedziczenie, jeśli jest to konieczne, za pomocą dyrektywy `.super`.

Przykład:

```smali
.class public Lcom/example/MyClass;
.super Ljava/lang/Object;
```

#### Dodawanie pól

Aby dodać pole do klasy, należy użyć dyrektywy `.field` i określić modyfikatory dostępu, typ pola oraz jego nazwę.

Przykład:

```smali
.field private static myField:I
```

#### Dodawanie metod

Aby dodać metodę do klasy, należy użyć dyrektywy `.method` i określić modyfikatory dostępu, typ zwracany, nazwę metody oraz listę argumentów. Następnie należy zdefiniować ciało metody, używając instrukcji Smali.

Przykład:

```smali
.method public static myMethod(II)I
    .registers 3
    add-int v0, p0, p1
    return v0
.end method
```

#### Dodawanie instrukcji

Aby dodać instrukcję do metody, należy użyć odpowiedniej instrukcji Smali, takiej jak `move`, `add-int`, `invoke-static`, itp. Instrukcje Smali są podobne do instrukcji Javy, ale mają nieco inną składnię.

Przykład:

```smali
add-int v0, p0, p1
```

#### Modyfikowanie istniejących instrukcji

Aby zmodyfikować istniejącą instrukcję w metodzie, należy znaleźć odpowiednią instrukcję w pliku Smali i zmienić jej argumenty lub operacje. Można to zrobić, edytując plik Smali ręcznie lub za pomocą narzędzi do automatycznego modyfikowania plików Smali.

Przykład:

```smali
invoke-static {p0}, Landroid/util/Log;->d(Ljava/lang/String;)I
```

#### Usuwanie instrukcji

Aby usunąć instrukcję z metody, należy znaleźć odpowiednią instrukcję w pliku Smali i usunąć ją. Można to zrobić, edytując plik Smali ręcznie lub za pomocą narzędzi do automatycznego modyfikowania plików Smali.

Przykład:

```smali
return-void
```

#### Dodawanie adnotacji

Aby dodać adnotację do klasy, pola lub metody, należy użyć dyrektywy `.annotation` i określić typ adnotacji oraz jej parametry.

Przykład:

```smali
.annotation system Ldalvik/annotation/EnclosingClass;
    value = Lcom/example/MyClass;
.end annotation
```
```bash
#Math
add-int/lit8 v0, v2, 0x1 #v2 + 0x1 and save it in v0
mul-int v0,v2,0x2 #v2*0x2 and save in v0

#Move the value of one object into another
move v1,v2

#Condtions
if-ge #Greater or equals
if-le #Less or equals
if-eq #Equals

#Get/Save attributes of an object
iget v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save this.o inside v0
iput v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save v0 inside this.o

#goto
:goto_6 #Declare this where you want to start a loop
if-ne v0, v9, :goto_6 #If not equals, go to: :goto_6
goto :goto_6 #Always go to: :goto_6
```
### Większe zmiany

### Rejestrowanie działań
```bash
#Log win: <number>
iget v5, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Get this.o inside v5
invoke-static {v5}, Ljava/lang/String;->valueOf(I)Ljava/lang/String; #Transform number to String
move-result-object v1 #Move to v1
const-string v5, "wins" #Save "win" inside v5
invoke-static {v5, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I #Logging "Wins: <num>"
```
Rekomendacje:

* Jeśli zamierzasz używać zadeklarowanych zmiennych wewnątrz funkcji (zadeklarowane v0,v1,v2...), umieść te linie między _.local \<number>_ a deklaracjami zmiennych (_const v0, 0x1_)
* Jeśli chcesz umieścić kod logowania w środku kodu funkcji:
* Dodaj 2 do liczby zadeklarowanych zmiennych: np. z _.locals 10_ na _.locals 12_
* Nowe zmienne powinny mieć kolejne numery po już zadeklarowanych zmiennych (w tym przykładzie powinny to być _v10_ i _v11_, pamiętaj, że zaczynamy od v0).
* Zmień kod funkcji logowania i użyj _v10_ i _v11_ zamiast _v5_ i _v1_.

### Toastowanie

Pamiętaj, aby dodać 3 do liczby _.locals_ na początku funkcji.

Ten kod jest przygotowany do wstawienia w **środku funkcji** (**zmień** liczbę **zmiennych** według potrzeb). Będzie on pobierał **wartość this.o**, **przekształcał** ją na **String** i następnie **wyświetlał** tost z jej wartością.
```bash
const/4 v10, 0x1
const/4 v11, 0x1
const/4 v12, 0x1
iget v10, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I
invoke-static {v10}, Ljava/lang/String;->valueOf(I)Ljava/lang/String;
move-result-object v11
invoke-static {p0, v11, v12}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v12
invoke-virtual {v12}, Landroid/widget/Toast;->show()V
```
<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć **reklamę swojej firmy w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na GitHubie.

</details>