2015ali android挑战赛第一题

最新推荐文章于 2019-05-06 16:28:40 发布
最新推荐文章于 2019-05-06 16:28:40 发布
阅读量377 收藏
点赞数
分类专栏: android逆向 文章标签: android逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chrishkj520/article/details/73836116
版权

准备环境

工具:jeb + android killer + eclipse + cmder

逆向分析

apk拖入:jeb
1、找到入口代码:
jeb反编译的java代码
题目很简单,v2 == v4的内容就算破解成功,分析v2 和v4数据来源,发现v4就是目标密码,只不过是加密后的密码。(此题是通过密文比较,判断 成功与否)

突破点,有日志输出:

1、发现有日志输出:Log.i ,第一个想到的就是查看日志输出(从后面的分析结果来看,最好还是用eclipse或者android studio 带DDMS工具查看日志)

于是adb logcat -s “lil’
得到日志信心如下:很可惜显示的全部是乱码!!! 最后发现是cmder的bug,不能显示中文
cmder获取的日志信息
通过:eclipse输出,发现其实是中文,,,被cmder给坑了!!!

解决方案:
1、在原apk中添加日志,并重新编译(代价更小一些)
2、直接抠出原有的代码,并添加日志代码,不改变原来的apk。(代价更大一些)

这里我想的是代码直接还原,模拟环境,并添加日志输出
突破分析源代码如下:

  protected String getTableFromPic() {
        String v6;
        InputStream v3;
        String v5 = "";
        try {
            v3 = this.getResources().getAssets().open("logo.png");
            int v4 = v3.available();
            byte[] v0 = new byte[v4];
            v3.read(v0, 0, v4);
            byte[] v1 = new byte[768];
            System.arraycopy(v0, 89473, v1, 0, 768);
            v6 = new String(v1, "utf-8");
            for(int i = 0; i < 256; ){

               Log.i("TTT",v6.substring(i, i+31));
              i += 32;
            }
            Log.i("TTT", v6);//将v6的内容输出,发现就是密文中文字符集
            Log.i("TTT", "" + v6.length());
            if(v3 == null) {
                return v6;
            }}catch(Exception e){
              e.printStackTrace();
            }
        return "";
        }

       protected String getPwdFromPic() {
        String v6;
        InputStream v3;
        String v5 = "";
        try {
            v3 = this.getResources().getAssets().open("logo.png");
            int v4 = v3.available();
            byte[] v0 = new byte[v4];
            v3.read(v0, 0, v4);
            byte[] v1 = new byte[18];
            System.arraycopy(v0, 91265, v1, 0, 18);
            v6 = new String(v1, "utf-8");//将v6的内容输出,发现就是密文中文字符集密码
            Log.i("TTT", "" + v6.length());
            Log.i("TTT","" + bn(v6.getBytes("utf-8")));

            if(v3 == null) {
                return v6;
            }
            return v6;
        }catch(Exception e){
              e.printStackTrace();
        }
        return "";
        }
       @Override
       protected void onCreate(Bundle savedInstanceState) {
              super.onCreate(savedInstanceState);
              setContentView(R.layout.activity_main);
              String key = "中国";
              getTableFromPic();
              getPwdFromPic();
              try {
                     Log.i("TTT","" + bn(key.getBytes("utf-8")));

              } catch (UnsupportedEncodingException e) {
                     // TODO Auto-generated catch block
                     e.printStackTrace();
              }

分析输出的日志:密码是:义弓么丸广之,,,找到密文数组中对应的所对应的下标,即可换算出用户应该输入的密码
看图找密码

最终用户需要输入密码是:581026
输入密码
测试效果:
测试结果

小结

1、java层代码的的日志是一个好的利用点,用好它可以节省很多事
2、cmder在windows比cmd好用,但是在中文字符上支持不足。可以使用ddms作为参看日志输出,或者使用重定位功能将日志重定位到文件当中。

unsummon
关注
专栏目录
2015ali android挑战赛第二
chrishkj520的专栏
06-28 722
工具 jeb + androidkiller + IDA6.8 + winhex + cmderpart1 前期侦察准备工作:静态分析 apk smali按照正常流程走,直接拖入到andriod killer中,发现其中只有两个activity程序,主程序中定义了一个native程序 public native boolean securityCheck(string){} 这个程序将用户输入的
一起看 I_O _ Android 更新一览
uu_5201314的博客
04-14 133
[Android 12](() 的第一个 Beta 版现已发布,包含了很多炫酷的更新。包括全新的用户安全功能,如改进的蓝牙和近似位置权限;强化的性能表现,如 Android开源项目:ali1024.coding.net/public/P7/Android/git 加急作业 (expedited jobs) 和启动动画;以及通过全新设计的 widget 和过度滚动拉伸效果带来令人愉悦的体验,这是 Android 有史以来最大的设计更新之一。欢迎大家了解更多 Android 12 Beta 1 的 [详细信
ali安全挑战赛移动安全-2015-2016
02-18
阿里移动安全挑战赛android 2015第一届 2016第二届
2017年移动互联应用软件开发竞赛试
02-26
2017年移动互联应用软件开发竞赛试
2015ali android挑战赛第二之反调试技术解析
chrishkj520的专栏
06-30 909
part 3 反调试原理分析承接上一篇博文,破解时遗留了两个问,一个是静态密码什么时候被修改的,一个是反调试部分内容。个人觉得反调试部分内容比较关键,所以就来扒一扒其背后的秘密。这里主要以汇编代码分析为主,结合动态调试,我的目标是训练阅读arm代码,提高效率也是我们值得花时间的。还是从JNI_OnLoad入手分析,OnLoad函数主要做2件事情:1、动态解密dlsym、getpid、sprintf
2015移动安全挑战赛(阿里&看雪主办)全程回顾
weixin_33811961的博客
03-08 450
GoSSIP_SJTU · 2015/04/01 9:26Author: 上海交通大学密码与计算机安全实验室软件安全小组GoSSIP第一0x1 分析目下载本次比赛的第一目是一个APK文件,安装后,需要用户输入特定的密码,输入正确会显示破解成功。该目的APK文件没有太多的保护,可以直接使用各种分析工具(如jeb等)反编译得到Java代码。获得正确注册码的代码逻辑为: 1. 从logo.pn...
MSC阿里比赛第二详解
听鬼哥说故事
01-29 5024
MSC阿里比赛第二详解
android 必读的文章- 收藏集 - 掘金
hzy670800844的博客
05-06 3805
写给 Android 开发者的混淆使用手册 - Android - 掘金 本文转自:点击打开链接 毫无疑问,混淆是打包过程中最重要的流程之一,在没有特殊原因的情况下,所有 app 都应该开启混淆。 首先,这里说的的混淆其实是包括了代码压缩、代码混淆以及资源压缩等的优化过程。依靠 ProGuard,混淆流程将...
必读的android 文章- 收藏集 - 掘金
christyleylh的博客
12-08 4410
写给 Android 开发者的混淆使用手册 - Android - 掘金 本文转自:点击打开链接 毫无疑问,混淆是打包过程中最重要的流程之一,在没有特殊原因的情况下,所有 app 都应该开启混淆。 首先,这里说的的混淆其实是包括了代码压缩、代码混淆以及资源压缩等的优化过程。依靠 ProGuard,混淆流程将主项目以及依赖库中未... 高效Android开发者的工具库(译) - 掘金 这篇文章介
Android ALi
07-16
**Android ALi:阿里云OSS(对象存储服务)的集成与使用** 在移动应用开发中,文件存储和管理是一项重要任务。阿里云OSS(Object Storage Service)提供了一个高效、安全、稳定、易用的云端存储解决方案。本文将...
(原创)我的第一android项目,男人的福音
07-29
【标】:“(原创)我的第一android项目,男人的福音” 这个标暗示了这是一个关于Android应用开发的项目,特别地,它可能是一个针对男性的应用。"男人的福音"可能是开发者对应用功能的一种营销表述,可能包含了...
真实场景篡改图像检测挑战赛冠军方案
08-23
在“真实场景篡改图像检测挑战赛”中,参赛团队需要开发出能够有效识别并定位图像篡改部分的算法。本文将深入探讨冠军方案的核心技术和策略,以及可能涉及的相关知识点。 冠军方案,名为"Rank1-Ali-Tianchi-Real-...
必读的 Android 文章
weixin_30361753的博客
11-06 1384
必读的 Android 文章 掘金官方关注 2017.06.07 13:58*字数 25218阅读 8782评论 2喜欢 218 写给 Android 开发者的混淆使用手册 - Android - 掘金本文转自:点击打开链接 毫无疑问,混淆是打包过程中最重要的流程之一,在没有特殊原因的情况下,所有 app 都应该开启混淆。 首先,这里说的的混淆其实是包括了代码压缩...
基于SpringBoot仿天猫购物系统.zip(毕设&课设&实训&大作业&竞赛&项目)
09-20
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
Python网络爬虫与推荐算法新闻推荐平台(毕设&课设&实训&大作业&竞赛&项目)
最新发布
09-20
Python网络爬虫与推荐算法新闻推荐平台:网络爬虫:通过Python实现新浪新闻的爬取,可爬取新闻页面上的标、文本、图片、视频链接(保留排版) 推荐算法:权重衰减+标签推荐+区域推荐+热点推荐.zip项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
THUCNews数据集
09-20
THUCNews数据集
Q音:Vue3+Pinia+Vue Router4+Vant4的移动端仿抖音短视频项目.zip(毕设&课设&实训&大作业&竞赛&
09-20
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
undo-log.sql
09-20
undo-log.sql
"第十二届数学建模网络挑战赛1142队B1英文摘要及竞赛规则承诺书
The 12th Chinese Mathematical Modeling Network Challenge, hosted by the Chinese Mathematical Modeling Network Challenge Organizing Committee, is a rigorous competition that requires participants to ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值