一 环境
手机:Pixel 1
系统:Android 8.1
软件:IDA 7.5、JADX
难度:简单
apk资源
链接:https://pan.baidu.com/s/1iEBK__qeWKQAg9KFVraskA
提取码:jn3p
二 分析流程
1.打开点击自由正义分享,再点击注册,会进入了注册界面
2.输入1122334455667,再点击注册,点击好吧就会退出APP(点击对话框外的任意地方,不会退出APP)
3.打开JADX,搜索"您的注册码已保存",然后看到了关键的saveSN
4.查看到了三个native方法
5.先查看 initSN方法只有在 本类的onCreate初始化,在JADX中搜索MyApp的类初始化的地方
6.发现关键的判断值 MyApp.m(图1),搜索引用发现没有赋值的地方(图2),那么说明有可能是SO里面,加上APP初始化就进行判断,说明MyApp.m赋值的initSN方法
7.打开IDA,导入SO,打开导出表搜索 initSN 发现并没有,说明是在JNI_OnLoad里进行动态注册
8.查看JNI_OnLoad,并且导入jni.h文件,查看off_5004
9.先查看n1,简单读取"/sdcard/reg.dat"文件(由于文件是放在SD卡里所以需要给APP存储权限就可以了),读取文件内的字符串,然后和"EoPAoY62@ElRD"进行比较
10.会将结果通过setValue设置到 MyApp.m,那么就找到了关键的key"EoPAoY62@ElRD"
11.查看动态注册里的n2(JAVA层saveSN),分为三部分:
1.初始化 加密用的字符串;
2.将明文和从table中取出的字符进行异或;
3.写入/sdcard/reg.dat文件
12第一部分:.初始化 加密用的字符串,从伪代码中明显是固定的,加上也没有反调试,所以直接IDA,动态调试(下断点的地方 如图1)
13.第二部分:加密算法很简单,实现的JAVA代码
public static String myEncrpt_CTF(String input){
char[]table={0x57,0x33,0x5F,0x61,0x72,0x45,0x5F,0x77,0x68,0x4F,0x5F,0x77,0x65,0x5F,0x41,0x52,0x45,0x00};
char[]result=new char[input.length() ];
int table_index=2016;
char table_item=0;
for (int i = 0; i <input.length() ; i++) {
if(i%3==1){
table_index=(table_index+5)%16;
table_item=table[table_index+1];
}else if(i%3==2){
table_index=(table_index+7)%15;
table_item=table[table_index+2];
}else{
table_index=(table_index+3)%13;
table_item=table[table_index+3];
}
result[i]= (char) (input.charAt(i)^table_item);
}
return new String(result);
}
14.因为table_item的生成和明文没有任何关系,加上最后是异或,说明了传入密文,返回的就是明文
System.out.println(myEncrpt_CTF("EoPAoY62@ElRD"));
201608Am!2333
15.输入正确的flag,重新进入app,按照指定的格式xman{201608Am!2333}! 提交就好了,不过这是很久以前的比赛APP,所以当成成功的标志就好了