[XCTF] mobile apk逆向

最新推荐文章于 2024-10-08 15:41:37 发布
原创 最新推荐文章于 2024-10-08 15:41:37 发布 · 346 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #安全 #android

博客讲述了对代码进行反编译分析的过程。通过jadx查看反编译代码,找到onClick事件,发现UserName固定,和用户输入的sn交给checkSN函数校验。还提到sn长度要求及加密比较规则,最终得出要输入的SN。

运行,随手一输

丢尽jadx看反编译代码。

直奔onClick事件

这个UserName是固定写死的,="Tenshine",然后把这个userName和用户输入的sn交给checkSN函数校验。

先直接把代码拷出到IDA,

package xctf.mobile;

import org.junit.jupiter.api.Test;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class ApkRE {
    @Test
    void click(){
        System.out.println(checkSN("1","1"));
    }
    public boolean checkSN(String userName, String sn) {
最低0.47元/天 解锁文章
Mobile(3)-攻防世界-APK逆向
Murmansk_Harbor的博客
01-27 586
Mobile(3)-攻防世界-APK逆向
XCTF_MOBILE13_基础android
一个热爱逆向,喜爱学习、分享的猿。
03-15 2769
初探 附件为一个apk,在模拟器里安装一下: 运行后,主界面很简单,一个输入框,一个按钮: 随便输入一个字符串,点击按钮,提示错误: 从使用上只有这些信息,接下来反编译看一看。 MainActivity 使用jadx打开apk,进行反编译。 先看MainActivity类,代码不多,可以轻松找到其中的按钮事件响应函数: this.login.setOnClickListener(new View.OnClickListener() { public voi...
XCTF_MOBILE14_APK逆向
一个热爱逆向,喜爱学习、分享的猿。
03-30 693
初见 题目除了一个apk附件外,还有一条提示信息:“备注:本题提交大括号内值即可”。 还是先来具体体验一下,先安装APP: 上图中,最后的“TopCtf”就是本题的APP。打开它: 就一个输入控件,一个按钮。 随便输入一个字符串,点击确定,提示“错误”: 从体验上就这些信息,下面对APP的apk文件进行静态分析。 静态分析 使用jadx打开apk文件,可以看到该APP除了资源类“R”和配置类“BuildConfig”,只有一个类“MainActivity”。重点分析...
攻防世界 XCTFMobileAPK逆向
Eqiqi的博客
04-14 292
顺便吐槽一下 java 是真的难用,复制过来一段代码,想要运行还要改改改,不像 python …调用 checkSN 方法,去判断一下 edit_userName 和 edit_sn 关系。其实很简单,就是把 userName 给 md5 一下而已,简单调试一下就行了。正常 JADX 反编译,后丢到 IDEA 中审计一下。看一下 onCreate 方法,其实关键的也就一句。直接看 MainActivity。
【愚公系列】2023年04月 攻防世界-MOBILEAPK逆向
时光隧道
04-20 9314
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
android 逆向(xctf)
wanan的博客
01-23 899
android 逆向(xctf)
XCTF-Mobile】新手练习区-02-easy-dex.apk
08-16
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5089&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easydex
XCTF-Mobile】新手练习区-05-easyjni.apk
08-05
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjni
XCTF移动应用逆向分析:解密安卓app2
作者提供了一个名为XCTF-mobile app2的安卓应用作为示例,用于教学如何进行逆向分析并找到隐藏的flag。" 在安卓逆向工程中,首要步骤是获取应用程序的内部数据。在这个案例中,首先需要将APK安装包的后缀更改为.zip...
Uva-12166-Equilibrium Mobile逆向思维, map)
zz_Black的博客
09-08 441
题目大意:给定一颗最大深度为16的二叉树,代表一个天平, 叶节点是一些秤砣,每根杆都悬挂在中间,秤砣重量已知,问最少要修改多少个秤砣的重量才能使天平平衡。 刚看到这道题的时候就发现 - -、 从正面想这道题几乎是无解, 对于一个不平衡的天平根本不知道要改哪边,甚至。。就算是平衡了的天平你也无法确定改不改重量,冥思苦想无所得之后请教他人,发现这题是逆向解Orz,瞬间明白过来了。 对于每个秤砣,
re学习笔记(88)攻防世界 - mobile进阶区 - APK逆向
逆向随笔
07-28 562
Java层分析 MainActivity 将用户名和密码传入checkSN来做一个判断 其中用户名内置的为Tenshine checkSN 进行md5加密,转成hex字符串,加上flag头后与输入密码进行比较 解题 jeb下断点
XTU.apk.apk逆向writeup
leak235的博客
11-26 705
最近逆向了西安工业大学出的CTF题,XTU.apk.apk 打开后如图 首先放到jeb里,很强大,直接按Tab就可以反编译成Java代码 查找onclick事件函数的内容 但里面用到了内置函数encrypt 用AndroidKiller解包后,果断使用ida,打开工程里面的lib\armeabi\libXTU.so文件 找到java内置函数 一
mobile逆向学习总结
最新发布
u012441962的博客
10-08 739
安卓逆向
XCTF_MOBILE9_RememberOther
一个热爱逆向,喜爱学习、分享的猿。
01-24 2038
初见 下载附件,是一个zip。 解压后有一个docx,一个apk。 打开docx看看,里面就一句话: 不懂安卓,所以就只是和安卓扯了扯边,,,Have fun~ 没看出什么作用。 在模拟器中运行一下apk: 随便输入用户名和注册码: 没有更多信息了,反编译看看。 静态分析 将apk重命名为zip,解压。 使用dex2jar对解压得到的dex文件进行反编译: 使用jd-jui查看反编译得到的jar包。 在MainActivity的onCreat...
攻防世界XCTF-MOBILE入门9题解题报告
ailx10
04-06 554
说实话,这几天被逆向的恐怖思维,深深的吓着了,真的要抱腿腿了,叫我失眠了好几晚,我觉得逆向分析是CTF中最难的,求腿腿指点迷津啊,我决定不闷头自己研究了。@欠费烦 感谢大佬提供的帮助,让我有了继续刷下去的勇气。至此,XCTF 6大类的入门题做完了。第一题:app1解题报告:在MUMU模拟器中安装运行通过dex2jar和jd-gui,逆向出class文件,然后直接进Main函数在BuildConfi...
XCTF mobile新手区解题记录(WP)以及一些总结和思考
windy_ll的博客
03-28 1472
前言     疫情当下,都已经耍了好几个月了,都不知道干啥了,好不容易等到我四川宣布开学时间了,结果四川高校一点动静都没有,无聊中,那就写一下解题记录吧,有些题先前已经在我个人博客上发过了,就不再重复写了,贴个链接就行了!!! 题目:app3     此题wp已经在个人博客写过,不在详细说明,详情请看链接:https://www.52pojie.cn/thread-1082706-1-1.htm...
re学习笔记(97)攻防世界 mobile进阶区 APK逆向-2 AndroidManifest.xml修复
逆向随笔
01-13 4559
题目描述:提交那一串XXXXXXXXXXXXXX即可。 下载下来安装后报错 Performing Streamed Install adb: failed to install ap.apk: Failure [INSTALL_PARSE_FAILED_UNEXPECTED_EXCEPTION: Failed to parse /data/app/vmdl1255401458.tmp/base.apk: Corrupt XML binary file] 同时使用apktool反编译也报错 java -.
171102 逆向-EISCTF(Mobile
whklhhhh的博客
11-03 971
1625-5 王子昂 总结《2017年11月2日》 【连续第398天总结】 A. EISCTF-Mobile B.FlagApp直接安装发现报错,直接拖入APK改之理也反编译失败 刚开始以为是签名问题,查了一堆,学会了用keytool生成密钥库,然后用jarsigner签上了名 仍然报错OTZ 仔细检查了一下发现APK改之理里提示了DEX的MagicNumber错误 搜索了一下APK
移动App入侵与逆向破解技术-iOS篇
热门推荐
heiby的博客
07-01 8万+
如果您有耐心看完这篇文章,您将懂得如何着手进行app的分析、追踪、注入等实用的破解技术,另外,通过“入侵”,将帮助您理解如何规避常见的安全漏洞,文章大纲: - 简单介绍ios二进制文件结构与入侵的原理 - 介绍入侵常用的工具和方法,包括pc端和手机端 - 讲解黑客技术中的静态分析和动态分析法 - 通过一个简单的实例,来介绍如何综合运用砸壳、寻找注入点、lldb远程调试、追踪、反汇编技术来进行黑客实战
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值