吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15950|回复: 41
收起左侧

[Android 原创] XCTF mobile新手区解题记录以及一些总结和思考

  [复制链接]
windy_ll 发表于 2020-3-28 17:41
本帖最后由 windy_ll 于 2022-4-1 20:57 编辑

前言

    疫情当下,都已经耍了好几个月了,都不知道干啥了,好不容易等到我四川宣布开学时间了,结果四川高校一点动静都没有,无聊中,那就写一下解题记录吧,有些题先前已经在我个人博客上发过了,就不再重复写了,贴个链接就行了!!!


题目:app3

    此题wp已经在个人博客写过,不在详细说明,详情请看链接:https://www.52pojie.cn/thread-1082706-1-1.html  


题目:easy-apk

    此题wp已经在个人博客写过,不在详细说明,详情请看链接:https://www.cnblogs.com/aWxvdmVseXc0/p/11955006.html  


题目:easy-java

    此题wp已经在个人博客写过,不在详细说明,详情请看链接:https://www.cnblogs.com/aWxvdmVseXc0/p/12207697.html  


题目:easy-jni

    此题wp已经在个人博客写过,不在详细说明,详情请看链接:https://www.cnblogs.com/aWxvdmVseXc0/p/12198459.html  


题目:easy-so

    1、下载好题目,拖入夜神中,打开如下所示:  

  

    2、查壳,发现无壳,用jeb反编译后,找到关键字验证失败所在类,发现调用了so层的CheckString函数进行了验证,传进去的参数为我们在输入框中输入的字符串,如下图所示:  

  

  

  

    3、用IDA打开so文件(要提取x86文件夹下面那个so文件,两个arm文件夹下面的so文件用ida打开有问题),找到该静态函数,直接F5大法,静态分析该函数可知:首先将传入的字符串前16位与后16位互换,然后两两一组互换位置,最后将得到的字符串与字符串f72c5a36569418a20907b55be5bf95ad比较返回比较结果!!!  

  

  

    4、写了一个python小脚本跑出flag,如下所示:  

脚本代码:  

string = 'f72c5a36569418a20907b55be5bf95ad'
strlist = list(string)

k = 0

for i in range(16):
    ch = strlist[1 + k]
    strlist[1 + k] = strlist[0 + k]
    strlist[0 + k] = ch
    k = k + 2

k = 0

for i in range(16):
    ch = strlist[0 + k]
    strlist[0 + k] = strlist[16 + k]
    strlist[16 + k] = ch
    k = k + 1

print(''.join(strlist))

运行截图:  

  


题目:app1

    此题wp已经在个人博客写过,不在详细说明,详情请看链接:https://www.cnblogs.com/aWxvdmVseXc0/p/11902184.html  


题目:Ph0en1x-100

    1、拖进夜神中安装运行,主界面只有一个输入框和一个按钮,随便输入信息,点击按钮后,弹出信息Failed!,如下图所示:  

  

    2、查壳后无壳直接使用JEB反编译,查看MainActivity.java文件,发现要弹出信息Success逻辑如下:首先在so层注册了两个静态函数--encrypt(String)getFlag()函数,然后在java层有个函数getSecret(String),将so层函数getFlag返回值经过getSecret函数加密后与我们在输入框中输入的字符串经过encrypt函数后在经过getSecret函数加密比较,如果一致,则返回Success,由于比较的两个字符串最外层都经过getSecret函数加密,所有我们不需要在管getSecret函数,直接让内部两个字符串一直一致即可得到flag!!!  

  

  

    3、使用IDA打开so文件,静态分析一下encrypt函数,发现逻辑很简单,就是将传进来的字符串的每个字符的ASCII码减一;对于getFlag函数,由于该函数没有输入只有输出,直接用frida Hook该函数得到返回值即可,如下图所示:  

  

  

Frida代码:  

import frida
import sys

jscode = """
Java.perform(function(){
    Interceptor.attach(Module.findExportByName("libphcm.so","Java_com_ph0en1x_android_1crackme_MainActivity_getFlag"),{
        onEnter: function(args) {
        },
        onLeave: function(retval){
            var String_java = Java.use('java.lang.String');
            var args_4 = Java.cast(retval, String_java);
            send("getFlag()==>"+args_4);
        }
    });
});
"""
def printMessage(message,data):
    if message['type'] == 'send':
        print('
  • {0}'.format(message['payload']))     else:         print(message) process = frida.get_remote_device().attach('com.ph0en1x.android_crackme') script = process.create_script(jscode) script.on('message',printMessage) script.load() sys.stdin.read()
  •     4、得到以上信息后,使用python脚本跑出falg即可,如下所示:  

      

      

    python脚本:  

    Flag = 'ek`fz@q2^x/t^fn0mF^6/^rb`qanqntfg^E`hq|'
    
    flaglist = list(Flag)
    
    stringlist = []
    
    for ch in flaglist:
        stringlist.append(chr(ord(ch) + 1))
    
    print(''.join(stringlist))

    题目:RememberOther

        PS:此题为脑洞题,披了一个安卓的皮而已!!!  

        1、下载好题目后,查壳发现无壳,直接拖进夜神中,要求输入用户名和注册码,随便输入,弹出信息无效用户名或注册码,如下图所示:  

      

      

        2、用JEB反编译后,查看onCreate方法,发现将我们输入的用户名和注册码作为参数调用checkSN函数,并且当该函数返回false时不弹出信息无效用户名或注册码,接着去看checkSN函数,该函数当用户名和注册码为空时返回false,返回false后弹出了一串md5值,再看checkSN函数其他逻辑,发现将输入的用户名经过md5加密后返回16进制字符串,然后取该字符串的奇数位拼接成一个新的字符串,再然后与我们输入的注册码进行比较,返回true,最后也没有发现这个跟flag没什么关系,想起之前还有一串md5值,进行解密,解密得出YOU_KNOW_,输入,提示flag错误。。。看了一下其他大佬的wp,才发现在后面加上ANDROID就行了。。。。。因为压缩包里面有个word文件,里面写了不懂安卓。。。。。。。  

      

      

      

      

      

      


    题目:app2

        1、将下载好的题目拖进夜神中,发现要求登陆,随便点击登陆后,如下所示:  

      

      

        2、将apk用jeb反编译后,首先看一下MainActivity这个入口文件,发现没什么,就是将我们输入的用户名和密码传入SecondActivity页面中,然后跳转到该页面,再来看一下SecondActivity,发现调用了so层函数doRawData,使其返回值和字符串VEIzd/V2UPYNdn/bxH3Xig==进行比较,如下所示:  

      

      

        3、用IDA查看一下该函数,发现至少将传入的字符串进行了AES-128-ECB加密,并且发现密钥thisisatestkey==,将开始我们发现的字符串VEIzd/V2UPYNdn/bxH3Xig==进行解密,得到的字符串输入后发现不是flag,但是在FileDataActivity文件中发现另一串字符串9YuQ2dk8CSaCe7DTAmaqAA==,对其解密,得到flag:Cas3_0f_A_CAK3  

      

      

      


    题目:黑客精神

        1、将下载好的题目拖进夜神模拟器中,发现要求注册,随便点击注册后,弹出一个弹框,提示已注册  

      

        2、用JEB反编译后,跟进MainActivity文件,发现点击按钮后就一个弹出弹框,点击弹框确定后,跳转到RegActivity界面去,在该界面点击注册后,调用了so层函数saveSN  

      

      

        3、用IDA分析so文件发现在java层注册的native函数都是动态注册的,此时用Ctrl+S找到.data段进入,发现对应的函数n1n2n3  

      

      

        4、先分析一些n1函数,F5大法后,可以很轻易看出该函数作用是创建了一个文件/sdcard/reg.dat,然后读取该文件,与字符串EoPAoY62@ElRD进行比较;再来看一下n2函数,该函数对应这java层的saveSN函数,首先前面做了一大堆令人看不懂的操作,然后将我们输入的注册码的每个字符与另一个字符进行异或操作(该字符我们不知道,所以无法得到最终异或结果);再来看一下n3函数,该函数首先调用了n1函数,若结果为真,则将一大串字符串赋值给v4,双击去看一些该字符串,使用A健将其转为ascii后,发现提示输入即是flag,格式为xman{……}!  

      

      

      

      

        5、按照提示,我们将开始发现的字符串EoPAoY62@ElRD(只发现这一个字符串,不输入这个输入啥)作为字符串进行输入,然后将文件/sdcard/reg.dat拷贝出来,打开文件一看,发现flag!!!  

      

      


    题目:easy-dex

        1、下载好题目后,拖进夜神中,发现直接是黑屏的,在JEB中反编译后,发现在AndroidManifest.xml文件applicationactivity标签中存在android:hasCode="false"android:name="android.app.NativeActivity",说明这是个纯C++编写的,并且不含java代码,也就是Native Activity  

      

      

        2、既然是Native Activity,直接找到so文件,拖进IDA中,寻找android_main方法(这是Native Activity的入口方法,关于Native Activity的一些基础知识,我会在将一些我觉得写得比较好的博客链接附在文末),发现存在一个'write'方法,结合包名'findmydex',大胆推测一波此处就是将dex写入某个文件中,那么直接开启动态调试,在关键地方下好断点后,终于运行到了write函数处,结合传进去的参数,直接dump下来整个内存,用010打开一看,全都是'00000.....',。。。。。卒!!!!。。。。。。。  

      

        3、好吧,开玩笑的!!!动态调试dump下来的内存有问题,一看就不是dex文件,开始还以为调试的时候哪里出来问题,导致dump出来的有问题,然后接着动态了一整个下午,发现好像dump下来的加密后的dex,去看了一下大佬们的wp,发现都是dump下加密后的dex,然后直接解密,好吧,再来看android_main函数,发现一开始就通过_aeabi_memcpy函数将加密后的dex文件加载进来了,我们可以轻松看到加密后的dex文件首地址为0x7004(ida使用F5后,要使用那一块内存空间地址直接是以&unk_地址命名的,所以首地址可以轻松看出来是0x7004),大小为0x3ca10,那么直接在静态下执行dump脚本即可,至于解密,把想应的c语言转换为python即可,至于最后为啥要进行一次zip的解压操作,是因为在android_main函数中解密完成后调用了uncompress函数进行了解压缩(更偷懒的可以直接把F5后的c代码复制下来,替换一下就行了)。  

      

      

      

      

     IDA dump脚本:  

    import idaapi
    
    addr = 0x7004
    size = 0x3ca10
    
    with open('dump','wb') as f:
        f.write(get_bytes(addr,size))
    
    print('[+] dump end')

     python解密dex脚本(我电脑上运行环境为3.6):  

    import zlib
    
    with open('dump','rb') as f:
        data1 = f.read()
    
        data = list(data1)
    
        count = 0
    
        while True:
            if count <= 0x59:
                count_tmp = (int)(count / 10)
                if count % 10 == 9:
                    size = 0x3ca10
                    size_tmp = (int)(size / 10)
                    xor = (count_tmp + 1) * size_tmp
                    if (size_tmp * count_tmp) < xor:
                        index = size_tmp * count_tmp
                        while size_tmp:
                            data[index] = data[index] ^ count
                            index = index + 1
                            size_tmp = size_tmp - 1
                    if count == 89:
                        while xor < size:
                            data[xor] = data[xor] ^ 0x59
                            xor = xor + 1
            else:
                break
            count = count + 1
    
    filebytes = bytes(data)
    with open('easy-dex.dex','wb') as f1:
        f1.write(zlib.decompress(filebytes))
    print('[+] decrypt end')

        4、将解密后的dex文件拖进jeb中反编译,首先看一下MainActivity.java文件的onCreate函数,发现有一个按钮监听事件,触发后调用了a.java里面的onClick函数,那么去看一下onclick函数,发现调用了MainActivity里面的a函数,并且传入了两个字符串参数,第一个字符串是输入框中的值,第二个参数是string.xml资源文件中的字符串,然后与一个字节数组进行比较,结合题目反编译后的public.xmlstring.xml文件,该字符串为I have a male fish and a female fish.,并且资源ID为two_fish,好吧,都已经是明示了,这里是TwoFish加密(关于TwoFish加密我会将一下我觉得写得还行的博客链接贴在最后面),并且该字符串就是密钥,与之比较字节数组就是加密后的结果。那么首先将字节数组转为字符串再说吧,一看字符串里面还有负数,那就直接与一下0xff咯(关于为啥要与0xff,是因为数字在java中是以补码形式表示的,与0xff相当于将一个有符号数转为了无符号数,看来我确实没有写博客的天赋,感觉说得不明不白的,老规矩,就把我觉得写得可以的博客链接贴在文末),然后与完后,直接转为ascii拼接成字符串,发现有些根本无法显示出具体字符来。。。。。又卡了,突然发现里面有个/符号,一下就想到了base64,尝试一下base4解码,结果解出来又是啥都不是。。。。。好气哦这个题。。。。。那就在来一个base64加密吧,得到字符串iE3y2hEF1izgbVUfGKWQrUCtgFQFop7iEkbmRwWdwsZ1HdQGcPxRVAkWzV/eDC9N(好吧,我承认我有赌的成分。。。。),随便找了个在线解密的网站,解密即得到flag。  

      

      

      

      

     python获取twofish加密结果脚本(运行环境同上):  

    import base64
    
    i = [-120, 77, -14, -38, 17, 5, -42, 44, -32, 109, 85, 31, 24, -91, -112, -83, 64, -83, -128, 84, 5, -94, -98, -30, 18, 70, -26, 71, 5, -99, -62, -58, 117, 29, -44, 6, 112, -4, 81, 84, 9, 22, -51, 95, -34, 12, 47, 77]
    
    data = []
    
    for k in i:
        data.append(k&0xff)
    print(base64.b64encode(bytes(data)))

    题目:我是谁

        55555555555,我太菜了,这道题还没有做出来,。。。。。。。。。。。。。。。。等做出来在补上!!!  


    一些总结

        1、以往反编译后的第一步是看MainActivity文件,很少看AnroidMainifes.xml,结果在很多地方吃了大亏,比如easy-dex这个题,android_main这个函数还是撞进去的,后来看见那两个标签觉得没见过,才去百度了一下,才知道是Native Activity,感觉这个文件看似不起眼,结果能少走一些不必要的地方!!!  

        2、思想上的牛角尖比技术上的牛角尖更难受,不然也不会去傻乎乎动态调试了一下午了!!!  


    一些博客链接

     关于Native Activity的:
      https://blog.csdn.net/qq_19683651/article/details/82623717
      https://blog.csdn.net/qq_21071977/article/details/77878252  

     关于TwoFish加密的:
      https://blog.csdn.net/l540538550/article/details/5642435  

     关于与0xff的:
      https://blog.csdn.net/csdn_ds/article/details/79106006?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task

    免费评分

    参与人数 20吾爱币 +19 热心值 +18 收起 理由
    Voccoo + 1 + 1 热心回复!
    西枫游戏 + 1 + 1 挺好的 这里面有些题目我写过,不过还是楼主详细
    KMn04z + 1 + 1 谢谢@Thanks!
    llcliulichang + 1 + 1 我很赞同!
    zls黑战魔 + 1 + 1 用心讨论,共获提升!
    iYoloPPD + 1 用心讨论,共获提升!
    七个涨停一倍 + 1 鼓励转贴优秀软件安全工具和文档!
    庞晓晓 + 1 + 1 SS级长篇大作
    三木零 + 1 + 1 用心讨论,共获提升!
    gaosld + 1 + 1 谢谢@Thanks!
    小风来了 + 1 + 1 谢谢@Thanks!
    yutu925 + 1 + 1 谢谢@Thanks!
    yixi + 1 + 1 谢谢@Thanks!
    SinnerDusk + 1 + 1 谢谢@Thanks!
    13213099063 + 1 我很赞同!
    此用户无法显示 + 2 + 1 我很赞同!
    smile5 + 1 谢谢@Thanks!
    机制呆萌的我 + 1 + 1 用心讨论,共获提升!
    FenLin + 1 + 1 用心讨论,共获提升!
    笙若 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

    查看全部评分

    发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

    随缘钓鱼 发表于 2020-3-29 13:12

    膜拜大佬
     楼主| windy_ll 发表于 2020-9-23 20:23
    坏坏的猫 发表于 2020-9-23 20:22
    最近也在学,请问什么个学习路径?有点没有思路头绪啊。无从下手啊,比如需要安卓开发,java或者其他知识吗 ...

    论坛有新手教程,需要啥补啥就行了
    赤座灯里 发表于 2020-3-28 18:15
    头像被屏蔽
    RBS 发表于 2020-3-28 19:02
    感谢分享!
    处女-大龙猫 发表于 2020-3-28 20:02
    膜拜大佬, 分析思路清晰啊
    机制呆萌的我 发表于 2020-3-28 22:24
    谢谢师傅的wp
    daymissed 发表于 2020-3-29 10:11
    没有题目练习一下,对Phthon还是不懂啊。
     楼主| windy_ll 发表于 2020-3-29 10:26
    daymissed 发表于 2020-3-29 10:11
    没有题目练习一下,对Phthon还是不懂啊。

    题目是xctf的,百度一下就出来了
    hyoulin68 发表于 2020-3-29 11:30
    膜拜大佬, 分析思路清晰啊
    zzt12 发表于 2020-3-29 13:14
    多谢思路 ,虽然我主要弄misc、web和密码学 这三个方向
    我先收藏了,以后进军mobile区的时候再来
    好奇你在多少论坛 同步发布 在看雪也看到你了呢
    您需要登录后才可以回帖 登录 | 注册[Register]

    本版积分规则

    返回列表

    RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

    GMT+8, 2025-1-10 17:49

    Powered by Discuz!

    Copyright © 2001-2020, Tencent Cloud.

    快速回复 返回顶部 返回列表