Aplicaciones Xamarin

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Información básica

Xamarin es una plataforma de código abierto diseñada para desarrolladores para construir aplicaciones para iOS, Android y Windows usando los frameworks .NET y C#. Esta plataforma ofrece acceso a numerosas herramientas y extensiones para crear aplicaciones modernas de manera eficiente.

Arquitectura de Xamarin

  • Para Android, Xamarin se integra con los namespaces de Android y Java a través de bindings de .NET, funcionando dentro del entorno de ejecución Mono junto con el Android Runtime (ART). Managed Callable Wrappers (MCW) y Android Callable Wrappers (ACW) facilitan la comunicación entre Mono y ART, ambos construidos sobre el kernel de Linux.
  • Para iOS, las aplicaciones se ejecutan bajo el runtime Mono, utilizando compilación Ahead of Time (AOT) completa para convertir el código C# .NET en lenguaje ensamblador ARM. Este proceso corre junto con el Objective-C Runtime sobre un kernel tipo UNIX.

.NET Runtime y Mono Framework

El framework .NET incluye assemblies, clases y namespaces para el desarrollo de aplicaciones, con el .NET Runtime gestionando la ejecución del código. Ofrece independencia de plataforma y compatibilidad hacia atrás. El Mono Framework es una versión de código abierto del framework .NET, iniciada en 2005 para extender .NET a Linux, ahora soportada por Microsoft y liderada por Xamarin.

Ingeniería inversa de aplicaciones Xamarin

Descompilación de assemblies de Xamarin

La descompilación transforma código compilado de vuelta a código fuente. En Windows, la ventana Modules en Visual Studio puede identificar módulos para descompilación, permitiendo el acceso directo a código de terceros y la extracción del código fuente para su análisis.

JIT vs AOT Compilation

  • Android soporta compilación Just-In-Time (JIT) y Ahead-Of-Time (AOT), con un modo Hybrid AOT para una velocidad de ejecución óptima. Full AOT es exclusivo de licencias Enterprise.
  • iOS emplea únicamente compilación AOT debido a las restricciones de Apple sobre la ejecución dinámica de código.

Extracción de archivos dll de APK/IPA

Para acceder a los assemblies en un APK/IPA, descomprime el archivo y explora el directorio assemblies. Para Android, herramientas como XamAsmUnZ y xamarin-decompress pueden descomprimir archivos dll.

python3 xamarin-decompress.py -o /path/to/decompressed/apk

En casos en los que, tras descompilar el APK, es posible ver la carpeta unknown/assemblies/ con los archivos .dll en su interior, es posible usar dnSpy directamente sobre los .dlls para analizarlos. Sin embargo, en ocasiones los archivos assemblies.blob y assemblies.manifest se encuentran dentro de la carpeta unknown/assemblies/. La herramienta pyxamstore puede desempaquetar el archivo assemblies.blob en aplicaciones Xamarin, permitiendo el acceso a los .NET assemblies para un análisis posterior:

pyxamstore unpack -d /path/to/decompressed/apk/assemblies/
# After patching DLLs, rebuild the store
pyxamstore pack

.NET MAUI 9 / .NET for Android almacenes de ensamblados dentro de ELF .so

Las compilaciones recientes de Android MAUI 9 ya no exponen assemblies.blob directamente. En su lugar, cada ABI incluye un contenedor ELF como lib/arm64-v8a/libassemblies.arm64-v8a.blob.so. Esta es una biblioteca compartida válida con una sección personalizada payload que contiene el almacén de ensamblados administrado.

Flujo de trabajo rápido:

unzip app.apk -d app_unpacked
llvm-readelf --section-headers app_unpacked/lib/arm64-v8a/libassemblies.arm64-v8a.blob.so
llvm-objcopy --dump-section=payload=payload.bin \
app_unpacked/lib/arm64-v8a/libassemblies.arm64-v8a.blob.so
hexdump -c -n 4 payload.bin   # XABA

Si llvm-readelf muestra una sección payload, dump it y verifica que el blob extraído comienza con XABA (0x41424158). Ese payload es el almacén de ensamblados documentado por .NET for Android, no un único DLL.

La estructura del store es útil cuando necesitas carve assemblies manualmente o validar un extractor:

  • Cabecera: struct.unpack('<5I', ...) para magic, version, entry_count, index_entry_count, index_size
  • Descriptores: entry_count registros de struct.unpack('<7I', ...) con data_offset / data_size y desplazamientos opcionales de debug/config
  • Índice: omitir index_size bytes
  • Nombres: uint32 length + bytes UTF-8
  • Datos: sitúate en cada data_offset y escribe data_size bytes como <name>.dll

Algunas entradas extraídas todavía no se abrirán directamente en dnSpy/ILSpy/dotPeek porque además están envueltas con XALZ. En ese caso:

  • Comprueba los primeros 4 bytes de cada fichero extraído buscando XALZ
  • Lee el tamaño descomprimido desde los bytes 8:12 como uint32 little-endian
  • Descomprime los bytes 12: con lz4.block.decompress(...)

Lógica mínima de descompresión:

import struct
import lz4.block

def decompress_xalz(data):
size = struct.unpack('<I', data[8:12])[0]
return lz4.block.decompress(data[12:], uncompressed_size=size)

Si no quieres parsear el store manualmente, pymauistore automatiza ELF payload extraction, XABA store parsing y XALZ decompression para APKs de MAUI 9.

Algunas builds antiguas de Xamarin/MAUI almacenan compressed assemblies usando el formato XALZ dentro de /assemblies.blob o /resources/assemblies. Puedes descomprimirlos rápidamente con la librería xamarout:

from xamarout import xalz
import os
for root, _, files in os.walk("."):
for f in files:
if open(os.path.join(root, f), 'rb').read(4) == b"XALZ":
xa = xalz.XamarinCompressedAssembly(os.path.join(root, f))
xa.write("decompressed/" + f)

iOS dll files son fácilmente accesibles para la descompilación, revelando porciones significativas del código de la aplicación, que a menudo comparte una base común entre diferentes plataformas.

AOT on iOS: managed IL se compila en archivos nativos *.aotdata.*. Parchar solo los DLL no cambiará la lógica; necesitas hook native stubs (por ejemplo, con Frida) porque los IL bodies son marcadores vacíos.

Análisis Estático

Una vez obtenidos los .dlls es posible analizar el código .Net de forma estática usando herramientas como dnSpy o ILSpy que permitirán modificar el código de la app. Esto puede ser muy útil para tamperear la aplicación y, por ejemplo, bypass protecciones.
Ten en cuenta que después de modificar la app necesitarás empaquetarla de nuevo y firmarla otra vez.

dnSpy está archivado; forks mantenidos como dnSpyEx siguen funcionando con ensamblados .NET 8/MAUI y preservan los debug symbols al re-guardar.

Análisis Dinámico

El análisis dinámico implica revisar SSL pinning y usar herramientas como Fridax para modificaciones en tiempo de ejecución del binario .NET en apps Xamarin. Hay Frida scripts disponibles para bypass de root detection o SSL pinning, mejorando las capacidades de análisis.

Other interesting Frida scripts:

Updated Frida-xamarin-unpin (Mono >=6) hooks System.Net.Http.HttpClient.SendAsync and swaps the handler to a permissive one, so it still works even when pinning is implemented in custom handlers. Run it after the app starts:

frida -U -l dist/xamarin-unpin.js com.target.app --no-pause

Plantilla rápida para hook managed methods con la frida-mono-api incluida:

const mono = require('frida-mono-api');
Mono.ensureInitialized();
Mono.enumerateLoadedImages().forEach(i => console.log(i.name));
const klass = Mono.classFromName("Namespace", "Class");
const m = Mono.methodFromName(klass, "Method", 2);
Mono.intercept(m, { onEnter(args){ console.log(args[1].toInt32()); } });

Volver a firmar

La herramienta Uber APK Signer facilita firmar múltiples APKs con la misma clave y puede usarse para volver a firmar una app después de realizarle cambios.

Referencias

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks