illusion题解

wangxiaobai123 · 发表于 2024-9-29 16:12

题目特征

查看是否存在壳

Jeb反编译查看oncreate(),观察到一个点击事件监听

在事件监听上观察到先从assets文件下读取Flag文件内容再和用户输入字符串作为参数传给CheckFlag()函数，而CheckFlag方法有native修饰，说明是由so库加载的

IDA找到lib文件夹下的libnative-lib.so并加载，老方法直接搜java_包名，F5后，可以看到逻辑很简单：将用户输入的每个字符，加上内置data字符串对应的下标的字符，然后再减去64。在和93一起作为参数传给sub_C40290C0(),运行后结果同Flag中的字符串进行比较得出。

其中内置data字符串为

进入sub_C40290C0()，可以看到恒跳转到sub_C4029028()处，继续跟进

可以看到这里的逻辑也很简单，通过位运算和循环逻辑来模拟除法

位移操作：使用右移（>>）将 a2 缩小，等价于除以2的幂，这样可以快速找到 a1 和 a2 的比值。
逐步减法：通过不断从 a1 中减去 a2 的不同倍数（如 a2、a2 >> 1、a2 >> 2 等），积累结果到 v4，这实际上是实现了除法的过程。
乘法扩展：通过不断乘以16和2来扩展 a2，实现了找到合适的倍数以提高计算效率。

综合这些步骤，最终可以得到 a1 除以 a2 的结果，反映了除法的本质。

综上所诉，该题是通过将用户输入的每个字符，加上内置data字符串对应的下标的字符，然后再减去64；得到的结果，取余93后，进行比较

可以写逆向脚本来破解：

结果如下，明显不符合flag的格式

考虑是动态注册，函数处搜索JNI_Load(),看到RegisterNatives函数果然存在

跟进后发现其CheckFlag()同上面的代码逻辑一摸一样，不同的是内置data字符串发生改变

动态注册的内置data字符串：

只需更改上面脚本的data字符串即可，运行结果如下：

补充知识：

在 Android NDK 开发中，如果静态注册和动态注册的函数命名相同，Java 层会优先调用动态注册的函数。这是因为动态注册函数是在运行时通过 JNI_OnLoad 函数注册的，而静态注册函数在编译时被固化。具体来说，动态注册的函数会覆盖静态注册的同名函数，因此 Java 调用的会是动态注册的实现。

bb18704f-b819-45e4-adcd-783dde1876de

特性	静态注册	动态注册
注册方式	根据JNI命名规则自动查找方法	通过`RegisterNatives`在运行时绑定方法
方法签名和命名	方法名遵循`Java_包名_类名_方法名`格式	通过`RegisterNatives`函数进行注册
JNI_OnLoad	无需使用动态注册相关API	包含`RegisterNatives`调用
实现查找	C/C++实现文件中存在静态注册命名方式	C/C++实现文件中通过`RegisterNatives`绑定的方法