【攻防世界】 ill-intentions writeup

于 2023-12-29 09:27:32 发布
阅读量395 收藏 8
点赞数 5
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77295404/article/details/135276039
版权

这个题目我有两种解法:第一种是分析核心代码,理清它的逻辑,然后写python代码得到答案。第二种是利用objection直接让app跳到相应的activity(因为activity的exported没有设置成true,所以用objection跳,当然也可以把exported改成true,然后重新打包app),然后写Frida hook native 函数(当然直接hook java代码也行),第二种方法比第一种省时省力。因为第二种方法忘了截图,就不介绍了。现在只介绍第一种方法:

在IsThisTheRealOne类中(在其他两个类中有类似的),注意到这行代码,它调用了so中的函数。

String s = this.getClass().getName();
intent.putExtra("msg", IsThisTheRealOne.this.perhapsThis("TRytfrgooq|F{i-JovFBungFk\\VlphgQbwvj~HuDgaeTzuSt.@Lex^~", "ZGFkNGIwYzIWYjEzMTUWNjVjNTVlNjZhOGJkNhYtODIyOGEaMTMWNmQaOTVjZjkhMzRjYmUzZGE?\n", Utilities.doBoth(s.substring(0, s.length() - 2))));

该函数的参数有三个,首先要求出这三个参数的值,前两个参数是可见的,第三个参数是调用了另一个类的函数获得的。为了方便,直接复制然后修改该类的代码如下:


import java.util.Base64;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.HashMap;
class HelloWorld {
    public static void main(String[] args) {
        String s = "com.example.application.IsThisTheRealOne";
        
        String result = doBoth(s);
        System.out.println(result);
    }
    
    public static String customEncodeValue(String input) {
        String output = "";
        byte[] arr_b = input.getBytes();
        MessageDigest md = null;
        try {
            md = MessageDigest.getInstance("SHA-224");
        }
        catch(NoSuchAlgorithmException noSuchAlgorithmException0) {
        }

        md.update(arr_b, 0, arr_b.length);
        byte[] arr_b1 = md.digest();
        for(int i = 0; i < arr_b1.length; ++i) {
            output = output + String.format("%02x", ((byte)arr_b1[i]));
        }

        return Base64.getEncoder().encodeToString(output.getBytes());
    }
    public static String translate(String input) {
        char[] arr_c = input.replace('=', '?').toCharArray();
        HashMap table = new HashMap();
        for(int i = 0; i < 10; ++i) {
            table.put(Integer.valueOf(new int[]{1, 2, 3, 4, 5, 6, 7, 8, 9, 0}[i]), Character.valueOf(new char[]{'W', 'h', 'a', 't', 'i', 's', 'd', 'o', 'n', 'e'}[i]));
        }

        for(int i = 0; i < arr_c.length; ++i) {
            int charcode = arr_c[i];
            if(charcode > 0x2F && charcode < 58) {
                arr_c[i] = ((Character)table.get(Integer.valueOf(charcode - 0x30))).charValue();
            }
        }

        return new String(arr_c);
    }
    // String Decryptor: 1 succeeded, 0 failed
    public static String doBoth(String input) {
        return translate(customEncodeValue(input));
    }


}

以下是so中的关键代码:

int __fastcall Java_com_example_application_IsThisTheRealOne_perhapsThis(int a1, int a2, int a3, int a4, int a5)
{
  char *v7; // r4
  const char *v8; // r8
  const char *v9; // r10
  int v10; // r4
  int v11; // r1
  char v13[80]; // [sp+4h] [bp-16Ch] BYREF
  char v14[80]; // [sp+54h] [bp-11Ch] BYREF
  char v15[80]; // [sp+A4h] [bp-CCh] BYREF
  char v16[80]; // [sp+F4h] [bp-7Ch] BYREF

  v7 = (char *)(*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)a1 + 676))(a1, a3, 0);
  v8 = (const char *)(*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)a1 + 676))(a1, a4, 0);
  v9 = (const char *)(*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)a1 + 676))(a1, a5, 0);
  strcat(v7, aWnwgrabOutbh);
  strncpy(v15, v7, 0x4Cu);
  v10 = 0;
  strncpy(v13, v8, 0x4Cu);
  strncpy(v14, v9, 0x4Cu);
  v15[76] = 0;
  v14[76] = 0;
  v13[76] = 0;
  do
  {
    v11 = (unsigned __int8)v14[v10] ^ (unsigned __int8)v13[v10] ^ (unsigned __int8)v15[v10];
    v16[v10++] = v11;
    printf("%c\n", v11);
  }
  while ( v10 != 76 );
  v16[76] = 0;
  printf("Here is your Reply: %s", v16);
  return (*(int (__fastcall **)(int, char *))(*(_DWORD *)a1 + 668))(a1, v16);
}

为了方便,我用python重写了关键部分,得到答案

v7 = "TRytfrgooq|F{i-JovFBungFk\\VlphgQbwvj~HuDgaeTzuSt.@Lex^~wnwGrab{Outbh"
sub = "rCtfqm}"

v8 = "ZGFkNGIwYzIWYjEzMTUWNjVjNTVlNjZhOGJkNhYtODIyOGEaMTMWNmQaOTVjZjkhMzRjYmUzZGE?"
v9 = "MzQxZTZmZjAxMmIiMWUzNjUxMmRiYjIxNDUwYTUxMWItZGQzNWUtMzkyOWYyMmQeYjZmMzEaNDQ?"

v15 = []   
for i in range(len(v7)):
     v15.append(ord(v7[i]))
v15.append(0x7f)

for i in range(len(sub)):
     v15.append(ord(sub[i]))

print(v15)
print(len(v15))


v13 = []   
for i in range(len(v8)):
     v13.append(ord(v8[i]))
print(v13)
print(len(v13))

v14 = []   
for i in range(len(v9)):
     v14.append(ord(v9[i]))
print(v14)
print(len(v14))

v10 = 0
v16 = []
while v10 != 75:
     v10 = v10 + 1
     v16.append(v14[v10] ^ v13[v10] ^ v15[v10])
print(v16)

for i in range(len(v16)):
     print(chr(v16[i]),end="")

Melody0x0
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
re学习笔记(98)攻防世界 mobile进阶区 ill-intentions
逆向随笔
01-15 3973
题目描述:Do you have have ill intentions? 打开查看MainActivity,仅仅注册了一个广播接收者 而这个广播接收者也没什么代码,仅仅是接受到不同的信息跳转到不同的Acitivity 三个Activity各有一个native函数 三个类逻辑差不多相同,只是调用的native方法不同,关系如下 DefinitelyNotThisOne:definitelyNotThis sThisTheRealOne:perhapsThis ThisIsTheRealOne:o.
【愚公系列】2023年04月 攻防世界-MOBILE(ill-intentions)
最新发布
时光隧道
04-21 8483
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
【愚公系列】2023年05月 攻防世界-MOBILE(app1)
时光隧道
12-09 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
re学习笔记(93)攻防世界 - mobile进阶区 - Illusion
逆向随笔
11-08 766
jeb载入查看MainActivity 可以发现是将用户输入,与encflag传入了native方法中去,native方法的返回值就是显示结果 而encflag是从assets文件夹下的flag文件中获取的 之后IDA查看so文件 JNI_OnLoad动态注册了函数 查看逻辑 将input与字符串相加,再减去64,和93一并传入sub_10C0函数 之后将返回值加上32得到字符串结果。 将得到的字符串与参数二也就是encflag进行比较,返回比较结果 而sub_10C0函数,则是判断a2是否等于0
【愚公系列】2023年05月 攻防世界-MOBILE(app2)
热门推荐
时光隧道
12-10 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
intentions-rb:图书馆实施和探索承诺理论
07-06
gem 'intentions' 然后执行: $ bundle 或者自己安装: $ gem install intentions 用法 TODO:在这里写使用说明 贡献 分叉它( ) 创建您的功能分支( git checkout -b my-new-feature ) 提交您的更改( ...
学生知识背景与创业意愿-研究论文
06-10
本文分析了个体和区域知识语境在大学生创业意向形成中的作用。 由于获取知识资源对于以知识为基础的初创企业的成长和生存至关重要,因此我们认为,个人赞成或反对成为企业家的决定应该严重依赖于为她提供获取战略...
atom-ide-base:适用于Atom的Atom IDE软件包
01-28
intentions atom-ide-markdown-service 它还提供用于原子级包的TypeScript类型。 用法 只需安装并享受。 使用类型 将软件包安装为npm软件包: npm install --save-dev atom-ide-base 然后导入如下类型: import...
kotlin-fill-class:Intellij插件,为空构造函数提供意图动作
02-03
Kotlin-Fill-Class 就是一个这样的插件,它为 IntelliJ IDEA 添加了自定义的意图动作(Intentions),使得原本需要手动编写的代码可以通过快捷方式自动化完成。 4. **意图动作(Intentions)**:在 IntelliJ IDEA ...
第59天:攻防世界-Mobile-lllusion
S1lenc3的博客
12-28 686
又是废物的一天。 昨天学了ARM汇编,今天看看这道题。 加载了so文件。 调用了原生程序的CheckFlag方法,参数v2是我们的输入,v1是assets目录内Flag文件的内容。 Ku@'G_V9v(yGS 然后分析lib-native.so文件。 直接找到这个方法进行分析,Java_monkeylord_illusion_MainActivity_CheckFlag ...
携程旅行APP libctripenc.so分析
super19911115的博客
06-26 685
携程旅行APP libctripenc.so分析 本文着重分析响应报文的解密,通讯网关及封包、解包(ProcoltoHandle.java)不在本文范围内,有兴趣的可私下交流。 JAVA层 ctrip.foundation.util.EncodeUtil static { try { System.loadLibrary("ctripenc"); } catch (Throwable th) { if (!classVerify
android dex文件格式(一)_Android逆向入门
weixin_39662594的博客
11-29 425
前言最近几年安卓的题也开始火了,不过有点杂,所以写篇文章总结下。注:以安卓4.4为准。四大组件app比较关键的就这四个组件:活动(Activity)、服务(Service)、广播接收器(Broadcast Receiver)、内容提供器(Content Provider)。下面一一详解。活动简介活动是一种可以包含用户界面的控件,主要用于和用户进行交互。一个应用程序中可以包含零个或多个活动...
Ph0en1x-100
XFox_的博客
09-19 350
Ph0en1x-100 雷电模拟器打开,随便输入会提示信息Failed MainActivity中找到关键词Failed发现调用了三种函数getSecret getFlag以及encrypt getSecret函数:Java层函数 public String getSecret(String arg12) { String v7 = "KE3TLNE6M43EK4GM34LKMLETG"; try { byte[] v3 = MessageDi
第60天:攻防世界Mobile两道题
S1lenc3的博客
12-29 865
人民的名义-抓捕赵德汉 下载了一个jar文件,直接解压文件可以看到三个class文件,用jadx一个一个分析看看。 就是一个接口。 分析了一下,好多没见过的函数,虽然有一堆加密,但是看上去最后返回一个类,不像是关键比较的部分。看看下一个类吧。 这个才像是关键比较啊,直接试试md5解密字符串看看。 提交flag正确。。。。 所以有猜测,第二个的defineClass创建了第三...
攻防世界MOBILE区WriteUp
逆向随笔
05-10 1474
攻防世界官网:攻防世界-答题 mobile区 mobile新手练习区 easyjni Ph0en1x-100 RememberOther app1 app2 app3 easy-apk easyjava easy-dex easy-so 黑客精神 你是谁 高手进阶区 基础android APK逆向 人民的名义-抓捕赵德汉1-200 boomshakalaka-3 Android2.0 Illusion ...
攻防世界Web高级进阶第三题
Y4tacker的博客
07-21 9843
今天才学到的东西晚上就看到了爱了爱了,记住他CVE-2016-7124,影响的版本是PHP5 < 5.6.25 和PHP7 < 7.0.10 来个在线php运行 接下来就是绕过的活了,因为CVE-2016-7124这个漏洞,导致可以让__wakeup函数失效(__wakeup触发于unserilize()调用之前),很简单1改成2即可。接下来绕过正则表达式 在线编译环境运行一下得到 题外话(记录) <?php //模式分隔符后的"i"标记这是一个大小写不敏感的搜索 if (preg
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2445
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
攻防世界(MISC)高手进阶
doraemon12345的博客
11-24 445
1.base64÷4 题目下载下来是一个文本,里面有一串字符,看题目提示联想到64除以4得16,应该是bease16拿去试一下,果然flag{DugUpADiamondADeepDarkMine} 解密网站:http://www.jsons.cn/aesencrypt/ 2.wireshark-1 是一个流量分析题,用Wireshark打开然后选择tcp追踪流查看到第二个流的时候发现flag如图提交flag{ffb7567a1d4f4abdffdb54e022f8facd} 3.pure_color 下载附
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值