阿里移动安全 Writeup

最新推荐文章于 2021-04-19 14:01:14 发布
最新推荐文章于 2021-04-19 14:01:14 发布
阅读量624 收藏
点赞数
分类专栏: android 逆向 文章标签: 移动安全 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_28138887/article/details/47762915
版权

0x0

弱菜愚昧,14年的东西, 现在才做, 不过,加油就行。

0x1

第一题

直接上代码

 String v3 = this.val$edit.getText().toString();
                String v5 = MainActivity.this.getTableFromPic();
                String v4 = MainActivity.this.getPwdFromPic();
                Log.i("lil", "table:" + v5);
                Log.i("lil", "pw:" + v4);
                try {
                    String v2 = MainActivity.bytesToAliSmsCode(v5, v3.getBytes("utf-8"));
                    Log.i("lil", "enPassword:" + v2);
                }
                catch(UnsupportedEncodingException v1) {
                    v1.printStackTrace();
                }

                if(v4 == null || (v4.equals("")) || !v4.equals(v2)) {
                    AlertDialog$Builder v0 = new AlertDialog$Builder(MainActivity.this);
                    v0.setMessage(2131361809);
                    v0.setTitle(2131361808);
                    v0.setPositiveButton(2131361811, new DialogInterface$OnClickListener() {
                        public void onClick(DialogInterface dialog, int which) {

看完代码就一个思路, 从图片获取一个table, passwd 。 然后根据我们的输入从table找一个偏移, 将连接后的字符串与passwd 比较。 这里因为有Log.i 所以DDMS里看一下就很明显了。 passwd is 581026

第二题


    static {
        System.loadLibrary("crackme");
    }
       public native boolean securityCheck(String arg1) {
    }
        public void onClick(View v) {
                if(MainActivity.this.securityCheck(MainActivity.this.inputCode.getText().toString())
                        ) {
                    MainActivity.this.startActivity(new Intent(MainActivity.this, ResultActivity.class));
                }
                else {
                    Toast.makeText(MainActivity.this.getApplicationContext(), "验证码校验失败", 0).show();
                }

关键的就这么几行 , 这里指示我们要去native 层找线索, 直接把lib拖进ida.
有个关键的对比 ,但是并不正确, 猜测可能是javahook 之类的。
动态调试吧。 IDA附加到apk的流程这里不多说了,只是一开始attachapk就挂了,没办法 ,就用jdb断在JNI_onLoad上,然后就是运行一下去看原来的那个字符串, 发现现在是aiyou,bucuoo了。

第三题

今天暂时到这里
有兴趣的朋友可以看看看雪的writeup , 两个大牛都很赞

cafe_0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里Android面试解析」20道面试帮助灵魂拷问,带你征服面试官
Android_SE的博客
10-28 269
大家好!今天给小伙伴分享20道BAT等大厂Android岗面试都会问的问题,对于这20题还整理了一些视频讲解分析+完整的Android知识体系PDF,在文末有免费获取!有不对的地方也可以在评论区留言探讨,也可以转发关注下我以后会长期分享! 更多完整项目下载。未完待续。源码。图文知识后续上传github。 可以点击关于我联系我获取 Android 面试帮助篇 1 、要做一个尽可能流畅的 L...
实现VSS(Visual Source Safe)的Java API
tyrone的专栏
01-19 7837
              VSS,即Visual Source Safe,是微软公司开发的Windows平台上优秀的Source版本控制器。不同于CVS的是,它不是开源,因此支持VSS的只有Windows平台。但微软发布了VSS的API。任何开发者都可以通过ssapi.dll文件,开发自定义的VSS插件或其他工具。Ssapi.dll是ActiveX组件,自然能支持多种开发语言。但想要支持Ja
专访阿里巴巴移动安全负责人陈树华:安全的最高境界是无感知
唐小引的 CSDN 博客
03-21 6978
在杭州阿里巴巴西溪园区的图书馆里,我见到了陈树华。和上次采访赵海平时不同,图书馆里出人意料的热闹,但在这个有点嘈杂的环境下,见到陈树华后我瞬间平静了下来,因为我知道面前这位看起来不起眼,但言谈举止很沉稳的人值得深挖。陈树华是阿里巴巴移动安全部负责人,阿里安全阿里钱盾等产品创始人,移动互联网安全体系建设开拓者,也是国内最早的一批移动安全专家。10年前,他加入趋势科技,发现了诸多系统安全漏洞,并主...
2018年阿里安全工程师面试
吴泽恩的博客
05-09 6906
1、描述如何运用图计算,识别某互联网金融平台上的欺诈团伙?试列举几种常用的社群发现算法。 2.题目一、 以下几个”点击”,哪几个可以成功执行 JS 代码,为什么,请按浏览器机制进行总体描述后,再进行逐个展开。 (1)点击 (2)点击 (3)点击 (4)点击 (5)点击 3 近期某电商公司站为了吸引用户眼球预投资100W搞一次促销活动,成功注册并完成身...
ISCC 2019 部分 Writeup
zhy_27的博客
05-25 6709
ISCC 2019 WriteupMisc1. 隐藏的信息(50)2. Welcome(100)3. 倒立屋(100)4. 无法运行的exe(150)5. 他们能在一起吗?(200)6. Keyes' secret(200)7. Aesop's secret(300)8. 碎纸机(400)Reverse1. answer to everything(100)2. dig dig dig(200)3...
阿里云ctf比赛writeup
04-26
阿里云CTF比赛Writeup详解 在网络安全领域,Capture The Flag(CTF)是一种常见的竞赛形式,参赛者通过解决各种安全挑战来展示他们的技术能力。阿里云CTF比赛提供了多种类型的挑战,包括Web、Misc、Pwn、Reverse和...
2015MSC移动安全挑战赛Writeup
12-10
2015MSC移动安全挑战赛的解题报告,共三题。
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
2023 强网杯 Writeup
最新发布
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
android通过ndk加解密和防apk反编译
qq_40948137的博客
04-19 1028
android通过ndk加解密和防apk反编译 作为开发者的我们除了为软件各种功能的实现而发愁,在发布以后也会为软件的安全发愁,这里分享一个用JNI实现的签名校验。 下面是效果图 1.获取签名信息 jclass context_class = env->GetObjectClass(context_object); //context.getPackageManager() jmethodID methodId = env->GetMethod
各类移动安全竞赛题/部分writeup收集与整理
phoebe的专栏
06-03 1959
整理并收集各类移动安全竞赛的题目和部分竞赛中一些牛人写的解题思路,下载网址如下:http://pan.baidu.com/s/1ntrDgc5 ,总结了2015阿里组织的移动安全挑战赛第二题解题思路。
ISCC2019——mobile01 之用android studio动态调试SO文件
CODER的博客
07-06 873
参考:https://www.zhaoj.in/read-5629.html 内含该APK下载链接 感谢作者 安卓逆向第一步 拖进JEB 翻到MainActivity函数 package com.iscc.crackme; import android.os.Bundle; import android.support.v7.app.AppCompatActivity; import and...
我是如何通过阿里面试的?
热门推荐
欢迎关注公众号:【码农突围】,回复9999,可以获取一份LeetCode刷题笔记
05-07 3万+
笔者参加18年阿里春招,有幸最终拿到阿里offer,base杭州,岗位客户端开发。一直忙于其他事情,拿到意向已经过去十多天,在此分享一些关于面试的干货,攒一波RP,回馈社...
一个简单的c#逆向
baidu_28138887的博客
06-13 3401
今天有时间就看了一下reversing.kr上的题目, 玩了会C#的题目, 感觉还是挺简单的。         大致的流程就是在form1 创建的时候, 把某个方法的字节码做一定的改变, 然后反编译器就无法看到里面的内容了, 解题方法其实也很简单, 就是按着他的思路把最后的方法还原就好。然后解出来的内容就是抑或和字符对比,没什么好说的。 我写的代码比较挫就不放上来了(免得被大牛喷) 。
linux 逆向分析
baidu_28138887的博客
06-02 1397
总结一下我的对linux 逆向的认识吧, 因为刚开始接触, 一点点的增加吧。;转载注明出处 1 strings  xx  主要是用于查找字符串的信息, 就和ida 的string 窗口一样 2nm   程序调用的函数 t|T – The symbol is present in the .text code section b|B – The symbol is
pwn中的一个小问题
baidu_28138887的博客
08-11 1188
今天做了一道pwn的题目, 从IDA 上看偏移是bp-14h , 但是我输入了14h后并未到达ebp, 而是还有0x8 的距离, 难道IDA有误。 于是就看了 下函数头, 发现了一条语句 and esp 0x0fffffff0 ,实际上就是对齐用的, 所以多了2个dd .    下面引用看雪上的一段话 至于 "and esp,FFFFFFF0h"  因为0xFFFFFFF0 = 11111
Smail 注入遇到的问题以及System.out
baidu_28138887的博客
09-02 670
i#前言 今天看到了crackmes.de上的几个android题,于是顺手来搞搞, 不过都是11年的。error E/AndroidRuntime﹕ FATAL EXCEPTION: main java.lang.VerifyError: com/example/helloandroid/HelloAndroid$2 at com.example.hello
西湖论剑安全大赛WriteUp分析
"西湖论剑WriteUp By Nu1L.pdf 是一份关于网络安全竞赛“西湖论剑”的解题报告,由Nu1L团队编写。报告涵盖了多个技术领域,包括Reverse(逆向工程)、ROR(Ruby on Rails框架漏洞利用)、TacticalArmed(可能涉及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值