吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7558|回复: 16
收起左侧

[Android 原创] Xman冬令营选拔赛(返老还童&孔雀翎)

[复制链接]
whklhh 发表于 2018-1-7 23:49
本帖最后由 whklhh 于 2018-1-8 00:13 编辑

搞完领航杯马不停蹄回来搞移动逆向,感谢主办方延长了时间~
逆向类的题目很有意思(°∀°)ノ
脑洞/杂项类的就……(跪

返老还童

反编译查看java代码,发现调用了一个WebView,加载了包内的check_flag.html
解包拿出来,查看发现存在混淆的js代码
用脚本反混淆并整理变量,发现最后要有3个结构类似的函数,区别只在于核心的比较地方而已
发现onClick方法中有调用js,查看这个函数名发现是中间那个

MainActivity.b.loadUrl("javascript:o0O0oo0o0o0o0oO()");

于是针对它分析

function o0O0oo0o0o0o0oO() {
    const _0x5de4x3 = navigator['userAgent']['split'](';')['map'](_0x5de4x4 => Number(_0x5de4x4));
    var _0x5de4x5 = function (x) {
        return function (y) {
            var gcm = function (a, b) {
                return 0 === b ? a : gcm(b, a % b);
            };
            return x * x - y * y == 56 * (x + y) && 10000 < x * x + x * y + y * y && 10000 > x * x - x * y - y * y && 7 == gcm(x, y);
        };
    };
    document['getElementById']('result')['innerHTML'] = _0x5de4x5(_0x5de4x3[_0x5de4x3['length'] - 2])(_0x5de4x3[_0x5de4x3['length'] - 1]) ? 'flag is XCTF{your input}' : 'try again';
}

这里的gcm函数就是辗转相除法求两数的最大公因子
发现取了两个数,判断它们的返回值是否为1
判断方法就在return那里,由两个方程,两个不等式组成
先记录下来

回头继续分析dex的onClick,在调用js上面还调用了a.a,跟过去看
这里写图片描述
这里取了输入内容,以-分隔,一共4组,每组4个字符
下面对字符范围进行了约束,懒得看了233
关键地方在这
这里写图片描述
一大坨方程限定4个数字串~

最后a和b就是送入js的两个数

解方程,我用Z3
Z3求解器,还您一身轻松(<ゝω·)
首先反求a和b

from z3 import *
def gcm(a, b):
    if a >= b:
        if a % b == 0:
            return b
        else:
            return gcm(b, a - b)
    else:
        return gcm(b, a)

x = Int('x')
y = Int('y')
s = Solver()

s.add(x>0, y>0, x<256, y<256)
s.add(x*x - y*y == 56*(x+y), 10000<x*x+x*y+y*y, 10000>x*x-x*y-y*y)
result = []
while(s.check()==sat):
    m = s.model()
    x1 = m[x].as_long()
    y1 = m[y].as_long()
    if(gcm(x1, y1)== 7):
        result.append((x1, y1))
    s.add(x!=x1)

print(result)

因为最大公因子这个限定不好加给z3,所以我在求解出结果以后再检查最大公因子,满足则记录,不满足则跳过进行下一个
得到若干解

result = [(91, 35), (105, 49), (119, 63), (133, 77), (147, 91), (161, 105), (175, 119), (189, 133), (203, 147), (217, 161), (231, 175), (245, 189)]

再一个一个把方程拖下来输入进行求解


for i in result:
    x2 = i[0] ^ 55
    y2 = i[1] + 4^113
    a = [BitVec("a%d"%i, 8) for i in range(4)]
    b = [BitVec("b%d"%i, 8) for i in range(4)]
    c = [BitVec("c%d"%i, 8) for i in range(4)]
    d = [BitVec("d%d"%i, 8) for i in range(4)]
    s = Solver()

    # 限定可见字符
    for i in a,b,c,d:
        for j in i:
            s.add(j>32)
        # 一大坨方程
    s.add(
    a[0] == d[1] - 3,
    a[3] == d[2] + 1,
    d[2] % 2 == 0,
    d[2] == a[2] + 8,
    d[0] == a[0] - 2,
    d[1] == (a[3] ^ 18),
    a[1] * 2 == a[2] - 8,
    d[3] == a[2],
    d[3] == x2,
    12 + b[1] == b[3],
    c[1] * 2 == b[3]-11,
    b[2] == y2,

    b[0] + c[0] == 187,
    b[0] + c[3] == 210,

    b[3] ^ b[2] == 47,
    b[0] ^ b[1] == 15,
    c[2] ^ b[1]== 5,
    )

        # 求解
    if(s.check()==sat):
        m = s.model()
        for i in  a,b,c,d:
            for j in range(4):
                print(chr(m[i[j]].as_long()), end='')
            print('-', end='')
        print()
    else:
        print(unsat)

结果最后只有第一个result出了可见字符解╮(╯_╰)╭

d2lu-bmVy-Y7hp-bgtl-

提交完成

孔雀翎

回来的时候已经有提示了,让试试反射和Xposed……
这俩我都不会呀~不过之前在52上看到过教程,应该可以试试吧(结果最后也没用上因为我并不会(望天

先反编译查看代码,发现在onClick中取得输入后送入一个反射来的方法进行运算,最后与另一个常量比较
这里写图片描述
这个v3就是反射来的方法,用invoke的方式调用,v0即输入就是参数
d.c通过对常数参数做一堆运算返回一个方法
那么关键就是这个方法是啥了

首先试了一下JEB2动态调试,然而单步跟到invoke以后就提示没法继续跟进去了
只好继续查找
浪费了俩小时也没找到什么能动态调试/dump方法代码的东西

最后无奈的试试IDA动态调试,没想到还真跟进去了
一下就看到了这里v3反射的是a.a.c.d方法
比对了一下smali确认无误后进行静态分析
这里写图片描述
……
(╯‵□′)╯︵┻━┻
这个方法里面又进行了5次反射,还好没有别的东西
不会Xp有啥办法尼,硬着头皮怼吧

一一跟进去并记录如下

a.a.c.d
        ->a.a.c.b(byte[], byte[])
        ->a.a.c.b(byte[]) 
        ->a.a.c.b(string)
        ->a.a.c.a(String)
        ->a.a.b.b(byte[])

还好这5个方法里没有更复杂的东西╮(╯_╰)╭连库函数都要反射的话我就没辙了

用Xposed应该可以Hook所有方法,把调用过的每个方法名都记录下来。思路是有,奈何Xposed不会写2333等跟着dalao们学习一个

于是挨个静态分析,结合JEB2的动态调试查看变量
PS: IDA能跟到反射方法里去,但是本地变量监视器实现的太差,除了字符串啥都看不到
而JEB2虽然能看到几乎所有类型的本地变量,但是跟不进反射方法(不过可以在反射的方法内下断来调试)

a.a.c.b(byte[] onClick, byte[]v6)

AES加密,key为"imaeskeyimaeskey"

刚开始看到代码只是显示secretKey,还不能确定是什么加密方法,结果看到这个密钥就不用想了233
padding没找到是什么,测试的时候正向输了一个十六个字节的字符串来测试
最后解密出来看到padding是\r

a.a.c.b(byte[])

转大写HEX

a.a.c.b(String)

将HEX的每个值通过一个字典转换
动态查看字典后发现就是0-16的4位bin显示
如E->1110

a.a.c.a(String)

压缩,将连续的若干1或0压缩成数目
如11100011010->332111
注:开头若为0则舍去

a.a.b.b(byte[])

改了Table的b64,Table通过构造方法生成,动态dump可得

于是按照流程写出脚本:

from Cryptodome.Cipher import AES
from base64 import *

key = b"imaeskeyimaeskey"
aes = AES.new(key, AES.MODE_ECB)

table = ['!', '(', '&', '*', '~', ';', ')', ':', '+', 'I', 'J', 'K', '%', 'M', 'F', 'D', '_', 'W', 'H', 'a', '@', 'G', 'Q', 'R', 'S', 'T', 'N', 'O', '$', 'b', 'c', 'd', '^', 'f', 'g', 'h', 'P', 'L', 'e', 'i', 'j', 'k', 'l', 'm', 'n', 'A', 'B', 'C', '#', 'E', 'o', 'p', 'X', 'V', 'U', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', '?']

# Reverse

s = "!_~&!#+(!_@&!_$*!_+(!_~(!#_(!^~)!_+&!_~((!~(!^~*!^~~!^~~!_~*!^+(!^@(!_+(!^^(!_~*(!~(!_~(!_%*!_~&!_~&!^S(!_~((#~((!~&!^%&!_%&!_+(!^~&!#+((_~(!_~(!_+(!_+;!_+(!^~(!_@&!^~:!^~(!_~(!^~(!_~*!^~;!^+(!_~&!^~(!_~&!^@&!^~(!_~(!^_(!#%(!_~&!^~&!^_&!_+&!__&!_+(!_~(!__~(^~)!_~?"

# b64解密
flag1 = b""
for i in range(len(s)//4):
    p = 0
    q = 0
    for j in s[i*4:i*4+4]:
        q = q << 6
        q |= table.index(j)
    for j in range(3):
        p = p << 8
        p |= q&0xf
        q = q >> 8
    flag1 += p.to_bytes(3, 'little')
print(flag1)

# 解压缩
flag2 = ""
f = 1
for i in flag1:
    while(i):
        flag2 += str(f)
        i -= 1
    f ^= 1
print(flag2)

# 将BIN转回HEX
flag3 = ""
for i in range(len(flag2)//4):
    flag3 += hex(int(flag2[i*4:i*4+4], 2))[2:]
print(flag3)

# 解码
flag4 = bytes.fromhex(flag3)

# 解密
flag = aes.decrypt(flag4)
print(flag)

xman.rar

147.57 KB, 下载次数: 19, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 11威望 +2 吾爱币 +28 热心值 +10 收起 理由
旋木过流年 + 1 + 1 用心讨论,共获提升!
bl4ckm4g15k + 1 热心回复!
XhyEax + 3 + 1 我很赞同!
pk8900 + 1 + 1 高手,教程写的非常棒,关注楼主的新贴。
TheCjw + 5 + 1 good job
qtfreet00 + 2 + 12 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ZjyCjy + 1 + 1 我很赞同!
文远张辽 + 1 + 1 学习学习,大佬可以啊!
述说过去 + 2 + 1 我很赞同!
youyudewo99 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
hot--ice + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

TheCjw 发表于 2018-1-8 23:31
不错,做出孔雀翎的选手都应该晋级了吧。

这次的题目是我们部门的三位小伙伴出的,周末大家盯了两天,看到有人做出来时,甚感欣慰。

纯粹移动的CTF比赛,出题十分纠结,逆向分析不可避免的占据主要地位。为了避免题目的单调,我们选择了DEX、Native、JavaScript各一道,然后凑了两道脑洞题。原计划是出一道Mono的,考虑到难度和时间,只能作罢。

手势密码比较容易,跟着画一遍就出来了,当然,对iOS用户应该不太友好。

二维码确实超出了我们的预期,出题的思路是图片中的每种元素利用一遍,即二维码、文字、表情红字、附加数据,加上AES密钥长度固定(128、192、256bit),就可以过掉第一层AES,剩下的套路一样。最后我们一致认为,虽然QR那两个字是鼠标画的,但表情包大多数风格如此,这个线索不太好发现。

JavaScript不用多说。

孔雀翎在设计的时候,如何迫使参赛选手必须了解反射,并且必须开发诸如Xposed或者Frida的插件才能完成,是题目想要达到的一个目的。因此,基本算法完成后,我们上了ZKM,因为最近在破解BurpSuite的时候遇到过,看着蛋疼,如果写程序处理,但其实没啥难度。

万箭穿心是有点蛋疼,没有任何加料和猥琐技巧,只是挑选了大家不熟悉的浮点运算完成,跟上出题者的思路需要一定的时间,如果比赛的时间能够再延长一些,我相信大家都能够做出来。

最后,感谢所有参赛的同学和队伍,陪我们折腾了一个周末。
 楼主| whklhh 发表于 2018-1-9 01:06
本帖最后由 whklhh 于 2018-1-9 01:54 编辑
TheCjw 发表于 2018-1-8 23:31
不错,做出孔雀翎的选手都应该晋级了吧。

这次的题目是我们部门的三位小伙伴出的,周末大家盯了两天,看 ...

APK结合js的题目我是头一次见,当然ctf里移动安全的题目相对而言本来也不算太多...看起来业界经常结合js开发?学到了新知识2333

孔雀翎我大概猜到应该要用Xposed来Hook方法记录方法名了,但是常见的教程都是注入、改参数啥的,我本身很少用java就比较为难 希望冬令营讲解的时候能多教教Xp~
话说ZKM貌似就是添了个构造方法来加密字符串吗?对方法的混淆好像没怎么见..去看了一下算法发现就是简单的循环异或,比赛的时候太困了不想动脑直接动态调出来的(望天

手势密码完全没get到,我倒是把它转成坐标画了几条线出来,然后没反应过来是1-9的键盘OTZ那个图形没啥特点就放弃了。不过幸好没想到,不然我肯定懒得去怼孔雀翎 就错过好多东西啦

万箭穿心完全懵逼_(:з」∠)_0xA0B5ED8D那几个常数查了一下是clinpack来的吗?浮点数运算是sub_25824等IDA没反编译出来的函数么?ARM汇编很不熟悉 惭愧
又去动态跟了一下,25824跳到后一个函数TEQ再MOVEQ以后就报BUS ERROR了……是反调试吗_(:з」∠)_

总之感谢梆梆安全的大佬们认真用心出的题目~我会一一钻研学习的~
chenjingyes 发表于 2018-1-8 00:04
 楼主| whklhh 发表于 2018-1-8 00:10
chenjingyes 发表于 2018-1-8 00:04
第一时间支持楼主的逆向文章

谢谢谢谢 萌新感觉很惭愧
影视专业 发表于 2018-1-8 08:31
不错不错,出类拔萃
960 发表于 2018-1-8 09:06
谢谢大佬的教程
liutong128 发表于 2018-1-8 09:07 来自手机
谢谢分享
小龙521 发表于 2018-1-8 09:24 来自手机
感谢分享,楼主辛苦了
dnhlyy 发表于 2018-1-8 17:12
路过,支持下楼主
ZjyCjy 发表于 2018-1-8 22:03
楼主江苏的吗?领航杯。
 楼主| whklhh 发表于 2018-1-8 22:22
ZjyCjy 发表于 2018-1-8 22:03
楼主江苏的吗?领航杯。

是啊是啊。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 13:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表