121 words

1 minute

TCTT25 Mobile: Custom Browser

2025-12-13

Thailand-Cyber-Top-Talent-2025

CTF

/

Mobile

/

Android

/

APK

/

WebView

Custom Browser (100 pts) - Mobile Security Write-up#

โจทย์#

คุณได้รับไฟล์ติดตั้งแอป Android (APK) ของแอป “Custom Browser” ที่ดูเหมือนธรรมดา แต่กลับมีโหมดลับซ่อนอยู่

งานของคุณคือสวมบท IT Security Engineer ตามล่าข้อความลับที่ถูกซ่อนอยู่และไขปริศนาจากเว็บวิวสุดแสบ

Flag format: flag{MD5}

ดาวน์โหลดไฟล์#

ไฟล์	ดาวน์โหลด
APK File	📦 GitHub Folder

แนวทางการวิเคราะห์#

1. Decompile APK#

1
apktool d custom-browser.apk -o output/
2
jadx-gui custom-browser.apk

2. ตรวจสอบ AndroidManifest.xml#

มองหา:

Exported activities
Secret activities
Custom URL schemes
Debug flags

3. วิเคราะห์ Java/Kotlin Code#

1
grep -r "flag" output/
2
grep -r "secret" output/
3
grep -r "hidden" output/
4
grep -r "debug" output/

4. ตรวจสอบ WebView Implementation#

มองหา JavaScript interfaces ที่อาจ expose ข้อมูลที่ sensitive

5. ค้นหา Secret Mode#

แอปน่าจะมี hidden activity หรือ WebView feature ที่เปิดเผย flag

Tools ที่ใช้#

Tool	วัตถุประสงค์
jadx	Java decompiler
apktool	APK extraction
adb	Android debugging
Frida	Dynamic analysis

ADB Commands#

1
# Install APK
2
adb install custom-browser.apk
3

4
# Launch secret activity (if found)
5
adb shell am start -n com.app/.SecretActivity
6

7
# View logs
8
adb logcat | grep -i flag

หมายเหตุ#

Challenge นี้ต้องมีการวิเคราะห์ APK จริง Flag ซ่อนอยู่ใน secret mode/activity ของแอป

Credits#

Writeup by netw0rk7 | Original Repo

TCTT25 Mobile: Custom Browser

https://blog.lukkid.dev/posts/tctt25-mobile-custom-browser/

Author

LUKKID

Published at

2025-12-13

License

CC BY-NC-SA 4.0

TCTT25 Mobile: Bangkok Casino

TCTT25 Network: Custom Protocol V2

1

Custom Browser (100 pts) - Mobile Security Write-up