【攻防世界】mobile easy-so writeup

最新推荐文章于 2024-05-31 17:23:03 发布
最新推荐文章于 2024-05-31 17:23:03 发布
阅读量310 收藏 7
点赞数 9
分类专栏: Mobile 逆向工程 CTF 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77295404/article/details/135303842
版权
CTF 同时被 3 个专栏收录
46 篇文章 9 订阅
订阅专栏
逆向工程
44 篇文章 0 订阅
订阅专栏
Mobile
10 篇文章 0 订阅
订阅专栏

从下面的代码知道,它调用了cyberspace的CheckString方法,而这个CheckString调用了so里的函数。

public class MainActivity extends AppCompatActivity {
    @Override  // android.support.v7.app.AppCompatActivity
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        this.setContentView(0x7F09001B);  // layout:activity_main
        ((Button)this.findViewById(0x7F070022)).setOnClickListener(new View.OnClickListener() {  // id:button
            @Override  // android.view.View$OnClickListener
            public void onClick(View v) {
                if(cyberpeace.CheckString(((EditText)MainActivity.this.findViewById(0x7F070031)).getText().toString()) == 1) {  // id:editText
                    Toast.makeText(MainActivity.this, "验证通过!", 1).show();
                    return;
                }

                Toast.makeText(MainActivity.this, "验证失败!", 1).show();
            }
        });
    }
}

CheckString方法里J_TestDec方法,用于对传入的字符串做处理

int __fastcall Java_com_testjava_jack_pingan2_cyberpeace_CheckString(int a1, int a2, int a3)
{
  int v3; // r8
  const char *v4; // r9
  size_t len; // r6
  char *v6; // r5

  v3 = 0;
  v4 = (const char *)(*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)a1 + 676))(a1, a3, 0);
  len = strlen(v4);
  v6 = (char *)malloc(len + 1);
  memset(&v6[len], 0, len != -1);
  qmemcpy(v6, v4, len);
  j_TestDec((int)v6);
  if ( !strcmp(v6, "f72c5a36569418a20907b55be5bf95ad") )
    v3 = 1;
  return v3;
}
size_t __fastcall TestDec(char *a1)
{
  size_t i; // r5
  unsigned __int8 *v3; // r1
  unsigned __int8 v4; // r0
  size_t result; // r0
  int v6; // r5
  unsigned __int8 *v7; // r0
  unsigned __int8 v8; // r1
  size_t v9; // r1

  if ( strlen(a1) >= 2 )
  {
    i = 0;
    do
    {
      v3 = (unsigned __int8 *)&a1[i];
      v4 = a1[i];
      a1[i] = a1[i + 16];
      ++i;
      v3[16] = v4;
    }
    while ( i < strlen(a1) >> 1 );
  }
  result = (unsigned __int8)*a1;
  if ( *a1 )
  {
    *a1 = a1[1];
    a1[1] = result;
    result = strlen(a1);
    if ( result >= 3 )
    {
      v6 = 0;
      do
      {
        v7 = (unsigned __int8 *)&a1[v6];
        v8 = a1[v6 + 2];
        v7[2] = a1[v6 + 3];
        v7[3] = v8;
        result = strlen(a1);
        v9 = v6 + 4;
        v6 += 2;
      }
      while ( v9 < result );
    }
  }
  return result;
}

上面的c++代码有点乱,为了方便理解,我用python代码重写了

def TestDec(a1):  
    # 将字符串转换为字符列表  
    a1 = list(a1)  
    length = len(a1)  
    i = 0  
    while length - i >= 17:  
        tmp = a1[i]  
        a1[i] = a1[i + 16]  
        a1[i + 16] = tmp  
        i += 1  
    result = ord(a1[0])   
    if result > 0:  
        a1[0] = a1[1]  
        a1[1] = chr(result)   
        result = len(a1)  # 这里result变成了列表的长度  
        v9 = 2  # 从2开始,因为我们已经处理了前两个字符  
        if result >= 3:  
            v6 = 0  
            while v6 < result - 2:  # 确保不会越界  
                tmp = a1[v6 + 2]  
                a1[v6 + 2] = a1[v6 + 3]  
                a1[v6 + 3] = tmp  
                v6 += 2

这样就很容易理解,它主要是用于交换输入字符串的字符。下面是它的逆向,输出就是flag

def reverse_test_dec(result):    
    a1 = bytearray(result, 'utf-8')  
      
    # 逆向第二个交换操作  
    length = len(a1)  
    v6 = 0  
    v9 = 0  
    if length >= 3:  
        while v9 < length:  
            tmp = a1[v6 + 2]  
            a1[v6 + 2] = a1[v6 + 3]  
            a1[v6 + 3] = tmp  
            v6 += 2  
            v9 = v6 + 2  # 更新v9以匹配原始while循环的条件  
      
    # 逆向第一个交换操作和字符交换  
    if a1[0] > 0:  # 这里应该检查字符是否为空,但在Python中应使用if a1[0] != 0 or a1[0] != ord(''):  
        tmp = a1[0]  
        a1[0] = a1[1]  
        a1[1] = tmp  
          
        # 逆向主要的字符交换操作  
        i = 0  
        while length - i >= 17:  
            tmp = a1[i]  
            a1[i] = a1[i + 16]  
            a1[i + 16] = tmp  
            i += 1  
      
    # 将字节数组转换回字符串并返回  
    return a1.decode('utf-8')  # 注意:这里假设原始字符串是UTF-8编码的  
    
result_str = "f72c5a36569418a20907b55be5bf95ad"   
original_str = reverse_test_dec(result_str)    
print(original_str)

Melody0x0
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
第38天:攻防世界-Mobileeasy-so
S1lenc3的博客
12-07 1274
1.继续刷Android,这题排序没规律啊,,,同样没学到啥东西。 2.Java EE的Play Framework框架有前途没有,做了一天JAVA课设,完成了第一个简易博客系统,也算写的一个简易网站吧。学过不少语言,但是对开发兴趣不大,就一直没搞,现在被逼着搞了一个,感觉还可以。MVC不过如此。。。。哈哈。(逃)! easy-so 看题目,就知道这道题是分析so文件了。 基本操...
攻防世界安卓逆向练习
OrientalGlass的博客
05-28 1867
可以看到sn码有22位,然后是对userName进行md5处理,md5之后的十六进制字符串每隔2位取一个,然后用flag{}包裹住就是需要的sn码。一开始我使用arm64-v8a文件夹中的so文件得到的是这个结果,显然是错误的,这个循环最后会丢失一些数据。这里的函数逻辑已经分析出来了,首先判断字符是否为字母,然后获取该字符在str中的下标。注意func函数每次传进去的是单字符的字符串,所以每次append添加的是单个字符。先看看index函数(注意这里的函数名和变量名都是根据分析手动修改的)
攻防世界-安卓easyso
weixin_44025748的博客
08-05 434
攻防世界-安卓easyso 运行 是一个输入验证的一个程序,当验证失败的时候会弹出提示 因此该题需要我们逆程序拿到正确的验证码 apk逆向 MainActivity 利用AndroidKiller逆apk 找到MainActivity 发现当cyberpeace返回1时,验证通过 package com.testjava.jack.pingan2; import android.os.Bundle; import android.support.v7.app.AppCompatActivity;
攻防世界XCTF-MOBILE入门9题解题报告
jennycisp的博客
01-03 1263
说实话,这几天被逆向的恐怖思维,深深的吓着了,真的要抱腿腿了,叫我失眠了好几晚,我觉得逆向分析是CTF中最难的,求腿腿指点迷津啊,我决定不闷头自己研究了。
CTF逆向-EasySo攻防世界SO层反汇编
道阻且长,行则将至。
04-10 2926
文章目录前言APK反编译SO层反汇编C伪代码分析总结 前言 前面我在 移动安全-APK反编译 一文中引用郭霖老师的《Android第一行代码》一书介绍了 Android 的 So 层文件的作用和意义,先进行回顾一下: 本文的目的在于记录攻防世界中一道 CTF 逆向题目 easy-so,从中学习如何借助 IDA 反汇编神器对 Android SO 文件进行反汇编和分析。 APK反编译 1、题目链接以再上方,附件 APK的下载地址,题目如下: 2、下载后在模拟器进行安装后,主界面如下: 在输入框输入任意字符后
攻防世界mobile easy-apk writeup
2301_77295404的博客
12-29 345
用人类的语言简单描述它的编码方法:把3个byte扩展成4个byte,然后每个byte的值通过查表Base64ByteToStr,转换成字符输出。把3个byte(设为o[3])扩展成4个byte(设为n[4]),就是取a[0]的前6位组成新的byte(b[0]),然后把o[1]最后2个位和第二个byte的前4个位组成b[1],把的o[1]的后四位和o[2]的前2位组成b[2],最后o[2]的后6位组成n[3]。这个题目的重点是理解它定义的Base64New的编码方法,然后写出Base64New的解码。
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
2019.4 DDCTF web题--滴 writeup
04-14
DDCTF,2019年4月比赛,web题,第一题--滴 writeup,及flag。
攻防世界 easy-dex解题思路
Devil丶LY
10-14 1619
这道题包含的知识感觉还挺多的,基本上是解出一步卡一步,然后不停的百度,看文章分析,才慢慢的摸索出来,首先是第一次接触到纯native开发的app这种东西,知道了其AXML大概的写法,以及SO文件中的入口为,其次是第一次接触到将dex文件写入SO中,在运行时由SO进行释放的概念。最后分析释放出的dex文件时,新接触到twofish加密算法。一环套装一环,是比较有价值的一道题。(但对于我们这种初学者来说也是相当不友好的一道题…)
详解 QtAndroid::requestPermissionsSync
github_37290846的博客
05-27 322
在这个示例中,我们首先创建了一个包含所需权限的字符串列表,然后使用 QtAndroid::requestPermissionsSync 函数同步请求这些权限。根据用户的响应,我们可以决定是继续执行需要权限的操作,还是处理权限被拒绝的情况。然而,QtAndroid::requestPermissionsSync 提供了一个简单的同步解决方案,特别适用于某些需要立即获取权限的场景。最后,由于 Qt 和 Android 平台的不断更新,建议查阅最新的 Qt 文档以获取最准确和最新的信息。
android recyclerView緩存數量 recycleview的缓存
hcgeng的专栏
05-31 224
1.上下滑动,底部和顶部的Item会添加,这时会先根据viewHolder的position,从二级缓存中查找,存在,直接使用,不用重新绑定数据,直接将ViewHolder放入一级缓存。2.根据二级缓存数(不做设置,默认2),如果小于缓存数,直接放入二级缓存,否则,将二级缓存中最先放入的item,移出放入四级缓存,再将其放入二级缓存。第一次加载,1、2、4级缓存均无数据,所以会创建适配器,并从中绑定数据,再根据界面需显示的数据项,并将其viewholder设置到一级缓存中。并由内部类Recycle来管理。
Unity 之 Android 【获取设备的序列号 (Serial Number)/Android_ID】功能的简单封装
仙魁XAN
05-28 1055
Unity 是一个功能强大的跨平台游戏引擎,广泛用于开发视频游戏和其他实时3D互动内容,如模拟器和虚拟现实应用。Unity 进阶开发涉及更复杂的技术和更深入的知识,以创建高性能、复杂和专业的游戏和应用程序。
Android USB调试模式下自动上下滑动(Go实现)
听我一言的博客
05-28 488
Golang实现通过ADB控制手机自动上下滑动
Android】点击图片获取点击位置在图片中的位置
最新发布
每天不是在写bug就是在写bug的路上
05-31 292
android图片点击获取位置
3.location的写法
u010198709的博客
05-28 320
让服务器接收到请求后,根据需求改写地址,以改写的地址给客户端响应。优先级: =, ^~, ~, ~*, location /nginx通过fastCGI机制调用PHP,处理动态资源。php以fpm的方式运行,有自己独立的进程、服务。将httpd换为nginx,高并发、高性能。作用: 匹配客户端响应。
攻防世界shuffle
09-03
- *3* [攻防世界Reverse进阶区-Shuffle-writeup](https://blog.csdn.net/qq_35056292/article/details/108676766)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值