【攻防世界】mobile easy-so writeup

于 2023-12-30 12:08:04 发布
阅读量344 收藏 7
点赞数 9
分类专栏: Mobile 逆向工程 CTF 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77295404/article/details/135303842
版权
CTF 同时被 3 个专栏收录
46 篇文章 9 订阅
订阅专栏
逆向工程
44 篇文章 0 订阅
订阅专栏
Mobile
10 篇文章 0 订阅
订阅专栏

从下面的代码知道,它调用了cyberspace的CheckString方法,而这个CheckString调用了so里的函数。

public class MainActivity extends AppCompatActivity {
    @Override  // android.support.v7.app.AppCompatActivity
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        this.setContentView(0x7F09001B);  // layout:activity_main
        ((Button)this.findViewById(0x7F070022)).setOnClickListener(new View.OnClickListener() {  // id:button
            @Override  // android.view.View$OnClickListener
            public void onClick(View v) {
                if(cyberpeace.CheckString(((EditText)MainActivity.this.findViewById(0x7F070031)).getText().toString()) == 1) {  // id:editText
                    Toast.makeText(MainActivity.this, "验证通过!", 1).show();
                    return;
                }

                Toast.makeText(MainActivity.this, "验证失败!", 1).show();
            }
        });
    }
}

CheckString方法里J_TestDec方法,用于对传入的字符串做处理

int __fastcall Java_com_testjava_jack_pingan2_cyberpeace_CheckString(int a1, int a2, int a3)
{
  int v3; // r8
  const char *v4; // r9
  size_t len; // r6
  char *v6; // r5

  v3 = 0;
  v4 = (const char *)(*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)a1 + 676))(a1, a3, 0);
  len = strlen(v4);
  v6 = (char *)malloc(len + 1);
  memset(&v6[len], 0, len != -1);
  qmemcpy(v6, v4, len);
  j_TestDec((int)v6);
  if ( !strcmp(v6, "f72c5a36569418a20907b55be5bf95ad") )
    v3 = 1;
  return v3;
}
size_t __fastcall TestDec(char *a1)
{
  size_t i; // r5
  unsigned __int8 *v3; // r1
  unsigned __int8 v4; // r0
  size_t result; // r0
  int v6; // r5
  unsigned __int8 *v7; // r0
  unsigned __int8 v8; // r1
  size_t v9; // r1

  if ( strlen(a1) >= 2 )
  {
    i = 0;
    do
    {
      v3 = (unsigned __int8 *)&a1[i];
      v4 = a1[i];
      a1[i] = a1[i + 16];
      ++i;
      v3[16] = v4;
    }
    while ( i < strlen(a1) >> 1 );
  }
  result = (unsigned __int8)*a1;
  if ( *a1 )
  {
    *a1 = a1[1];
    a1[1] = result;
    result = strlen(a1);
    if ( result >= 3 )
    {
      v6 = 0;
      do
      {
        v7 = (unsigned __int8 *)&a1[v6];
        v8 = a1[v6 + 2];
        v7[2] = a1[v6 + 3];
        v7[3] = v8;
        result = strlen(a1);
        v9 = v6 + 4;
        v6 += 2;
      }
      while ( v9 < result );
    }
  }
  return result;
}

上面的c++代码有点乱,为了方便理解,我用python代码重写了

def TestDec(a1):  
    # 将字符串转换为字符列表  
    a1 = list(a1)  
    length = len(a1)  
    i = 0  
    while length - i >= 17:  
        tmp = a1[i]  
        a1[i] = a1[i + 16]  
        a1[i + 16] = tmp  
        i += 1  
    result = ord(a1[0])   
    if result > 0:  
        a1[0] = a1[1]  
        a1[1] = chr(result)   
        result = len(a1)  # 这里result变成了列表的长度  
        v9 = 2  # 从2开始,因为我们已经处理了前两个字符  
        if result >= 3:  
            v6 = 0  
            while v6 < result - 2:  # 确保不会越界  
                tmp = a1[v6 + 2]  
                a1[v6 + 2] = a1[v6 + 3]  
                a1[v6 + 3] = tmp  
                v6 += 2

这样就很容易理解,它主要是用于交换输入字符串的字符。下面是它的逆向,输出就是flag

def reverse_test_dec(result):    
    a1 = bytearray(result, 'utf-8')  
      
    # 逆向第二个交换操作  
    length = len(a1)  
    v6 = 0  
    v9 = 0  
    if length >= 3:  
        while v9 < length:  
            tmp = a1[v6 + 2]  
            a1[v6 + 2] = a1[v6 + 3]  
            a1[v6 + 3] = tmp  
            v6 += 2  
            v9 = v6 + 2  # 更新v9以匹配原始while循环的条件  
      
    # 逆向第一个交换操作和字符交换  
    if a1[0] > 0:  # 这里应该检查字符是否为空,但在Python中应使用if a1[0] != 0 or a1[0] != ord(''):  
        tmp = a1[0]  
        a1[0] = a1[1]  
        a1[1] = tmp  
          
        # 逆向主要的字符交换操作  
        i = 0  
        while length - i >= 17:  
            tmp = a1[i]  
            a1[i] = a1[i + 16]  
            a1[i + 16] = tmp  
            i += 1  
      
    # 将字节数组转换回字符串并返回  
    return a1.decode('utf-8')  # 注意:这里假设原始字符串是UTF-8编码的  
    
result_str = "f72c5a36569418a20907b55be5bf95ad"   
original_str = reverse_test_dec(result_str)    
print(original_str)

Melody0x0
关注
专栏目录
攻防世界-- web新手练习区-- writeup汇总
yisosooo的博客
09-22 2480
一篇帖子包含所有题目。 第一题-- view_source 题目提示:鼠标右键好像不管用了。鼠标右键的主要功能之一是选取网易源代码选项,所以可以F12来查看源代码。即可得到flag。 第二题-- get_post 题目提示:HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST. 第一步:请用GET方式提交一个名为a,值为1的变量,构造URL:http://111....
攻防世界-- web高手进阶区-- writeup汇总
yisosooo的博客
09-22 6341
随做随记,争取记录详细思路,以供后续反思。 第一题-- cat 按照提示输入loli.club,没有任何回显。输入baidu.com也没有任何回显。再次尝试输入127.0.0.1,出现: 可知,submit其实是ping命令,而且好像只对ip地址起作用。尝试运行系统命令: 失败。输入127.0.0.1 | ls 同样失败。但是发现URL编码可以传入。当输入到%80时,出现报错信息,...
CTF逆向-EasySo攻防世界SO层反汇编
道阻且长,行则将至。
04-10 3448
文章目录前言APK反编译SO层反汇编C伪代码分析总结 前言 前面我在 移动安全-APK反编译 一文中引用郭霖老师的《Android第一行代码》一书介绍了 Android 的 So 层文件的作用和意义,先进行回顾一下: 本文的目的在于记录攻防世界中一道 CTF 逆向题目 easy-so,从中学习如何借助 IDA 反汇编神器对 Android SO 文件进行反汇编和分析。 APK反编译 1、题目链接以再上方,附件 APK的下载地址,题目如下: 2、下载后在模拟器进行安装后,主界面如下: 在输入框输入任意字符后
Andrord reverse 攻防世界 easy-so
XFox_的博客
09-02 406
easy-so 放进雷电模拟器,是个验证界面 放进JEB,查看MainActivity public class MainActivity extends AppCompatActivity { public MainActivity() { super(); } protected void onCreate(Bundle arg3) { super.onCreate(arg3); this.setContentView(0x7F
攻防世界-安卓easyso
weixin_44025748的博客
08-05 455
攻防世界-安卓easyso 运行 是一个输入验证的一个程序,当验证失败的时候会弹出提示 因此该题需要我们逆程序拿到正确的验证码 apk逆向 MainActivity 利用AndroidKiller逆apk 找到MainActivity 发现当cyberpeace返回1时,验证通过 package com.testjava.jack.pingan2; import android.os.Bundle; import android.support.v7.app.AppCompatActivity;
re学习笔记(76)攻防世界 - mobile区 - easy-so
逆向随笔
07-23 531
Jeb打开,将编辑框内容传入CheckString,返回值为1则成功 查看CheckString方法,在名为"cyberpeace"的so文件中 打开apk目录的lib文件夹,提取出so文件,ida载入分析 找到相应的导出方法 导入jni.h文件,需要注释掉26,27,1112,1113行方可导入成功 修改参数类型为如下 分析该函数 写python脚本为 ens = "f72c5a36569418a20907b55be5bf95ad" enlist = list(ens) for i in ran
第38天:攻防世界-Mobileeasy-so
S1lenc3的博客
12-07 1318
1.继续刷Android,这题排序没规律啊,,,同样没学到啥东西。 2.Java EE的Play Framework框架有前途没有,做了一天JAVA课设,完成了第一个简易博客系统,也算写的一个简易网站吧。学过不少语言,但是对开发兴趣不大,就一直没搞,现在被逼着搞了一个,感觉还可以。MVC不过如此。。。。哈哈。(逃)! easy-so 看题目,就知道这道题是分析so文件了。 基本操...
【愚公系列】2023年05月 攻防世界-MOBILEeasy-so)
热门推荐
时光隧道
12-09 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 7747
攻防世界 -- very_easy_sql
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界新手区Web-writeup
eeeric7的博客
07-25 422
Web1view_source F12查看网页源代码得到flag Web-2 robots Robots协议:即Robots Exclusion Standard网络爬虫排除协议。 作用:网站告知网络爬虫哪些页面可以爬取,哪些不能爬取 形式:在网站根目录下的robots.txt文件 robots.txt文件应该放在网站根目录下。 当robots访问一个网站时,首先会检查该网站中是否存在http://www.xxx.com/robots.txt这个文件,如果机器人找到这个文件..
攻防世界安卓逆向练习
OrientalGlass的博客
05-28 2088
可以看到sn码有22位,然后是对userName进行md5处理,md5之后的十六进制字符串每隔2位取一个,然后用flag{}包裹住就是需要的sn码。一开始我使用arm64-v8a文件夹中的so文件得到的是这个结果,显然是错误的,这个循环最后会丢失一些数据。这里的函数逻辑已经分析出来了,首先判断字符是否为字母,然后获取该字符在str中的下标。注意func函数每次传进去的是单字符的字符串,所以每次append添加的是单个字符。先看看index函数(注意这里的函数名和变量名都是根据分析手动修改的)
攻防世界pwn——monkey
qq_62076255的博客
12-21 364
做题记录
[攻防世界 pwn]——monkey
Y_peak的博客
02-27 832
[攻防世界 pwn]——monkey 题目地址:https://adworld.xctf.org.cn/ 题目: 额,怎么说呢这道题。checksec没什么大不了的 但是再IDA中就懵了,好大呀。好多文件。进入mian函数,也没有看很明白。准备运行程序看看到底是干什么的,帮助分析一下 输入尝试输入aaaa,发现返回的东西没有被定义。我们在Linux命令中有时命令输入错误也是这样。猜测它可能直接让输入命令。结果输入help可以,但是有的命令可以有的不可以 在IDA中查看一下字符串,因为它可以输入的字
【CTF】攻防世界——easy_RSA(Crypto)
x1a0he1的博客
05-04 1万+
eGl的CTF之路——easy_RSA(Crypto) 早就有动手写博客的想法了,素材也攒了不少,然而万事开头难。最近看到同学在这里发过的博客,终于决定动笔记录一下自己的成长之路了。 第一篇博客记录一道最基本的rsa私钥计算题: RSA的计算过程是: 任选两个大质数p和q,p!=q,计算N=pq 计算N的欧拉函数r(n)=(p-1)(q-1) 任选一个e满足 1<e<r(n) ,且...
XCTFmobileeasy-so write up
克格莫(有需要的私信)
02-21 1308
拖进模拟器是一个验证框,我们直接上jeb: 调用本地方法public static native int CheckString(String arg0),若验证一致返回1,否则返回0. 将apk重命名为zip后解压,在lib目录将.so文件拖进IDA,找到函数CheckString,代码如下: _BOOL4 __cdecl Java_com_testjava_jack_pingan2_c...
攻防世界-Crypto-Easy-one(main函数传参、加密代码审计)-Hack-you-2014
Sea_Sand息禅
04-26 2699
下载文件解压得: 加密代码: #include <stdlib.h> #include <stdio.h> #include <string.h> int main(int argc, char **argv) { if (argc != 3) { printf("USAGE: %s INPUT OUTPUT\n", argv[0]); ...
攻防世界-Mobile-基础android
神钥丶的博客
02-18 1945
本题有三种解题方式,下文会一一列举: 第一解法: 常规逆向分析,apk拖进jadx寻找入口点。 这里提一个点,可以看到该app还注册了一个广播,且exported="true",表示允许进行外部调用。先记下,后面会提到。 进入入口分析,可以看到调用了Check.checkPassword方法,且只有返回值为True的时候才能继续。 进入Check类分析看下: 这里我们主要关注两...
攻防世界easyJava(re Moble)
CTF小白的博客
05-15 3211
easyJava 题目考察:jeb反编译工具的使用,逆向能力,本题是基于enigma密码机的一个加密,可以参考博客https://blog.csdn.net/kyoma/article/details/51857944,大致题目使用的加密就是这个原理。 题目分析 private static char a(String arg1, b arg2, a arg3) { re...
攻防世界shuffle
最新发布
09-03
- *3* [攻防世界Reverse进阶区-Shuffle-writeup](https://blog.csdn.net/qq_35056292/article/details/108676766)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值