CTF逆向-[网鼎杯 2020 青龙组]bang-安卓脱壳逆向:frida-dexdump导出得到源码
来源:https://buuoj.cn/
内容:
附件: 链接:https://pan.baidu.com/s/1gZggDrrdrTe2b3r7X_MeLw?pwd=nksg 提取码:nksg
答案:flag{borring_things}
总体思路
拖入模拟器,使用frida-dexdump脱壳,壳检测工具Python版
常见逆向工具下载地址:CTF逆向-常用的逆向工具 提取码:pnbt
详细步骤
-
查看文件内容,发现有壳
-
使用任意模拟器安装题目的apk包
-
安装
frida
和frida-tool
,pip install frida-
frida-server下载:https://pan.baidu.com/s/1gBi_o357URoZxm_SKcQvDA?pwd=vyg6 提取码:vyg6
-
如果是window系统可能会弹出安装失败,此处笔者已经就此问题查看其源码进行了修复并提交了PR,待官方修复以后将避免此处的安装问题。
-
手动的解决方法,进入官方地址直接下载压缩包frida-python,解压后将其中的
setup.py
文件中的normalize_url
方法改成下面内容,随后运行py setup.py install
即可安装成功。注意安装过程中可能会下载frida包,需要联网。 -
def normalize_url(url): parse_result = urlparse(url) path = parse_result.path # fix issue#2012 lead to exception while url is bytes on windows if type(path) == type(bytes()): path = path.decode() if not path.endswith("/"): path += "/" path = path.encode() result = urlunparse(( parse_result.scheme, parse_result.netloc, path, parse_result.params, parse_result.query, parse_result.fragment, )) return result.decode() # shoud finally return str like url
-
-
使用adb连接到远程虚机,将
frida-server
复制到虚机中。- adb可以使用everything(提取码:69eq) 搜索
adb.exe
也可以直接用模拟器目录下一般会有自带的adb.exe
。
- adb可以使用everything(提取码:69eq) 搜索
-
安装
frida-dexdump
,pip install frida-dexdump -
使用
frida-dexdump -FU
导出当前模拟器中前台运行的应用。-
如果有的题不是在前台运行的,也可以是通过运行
frida-dexdump -U -f com.app.pkgname
导出指定包名的应用。
-
-
导出后得到两个dex包,对他们使用
d2j-dex2jar.bat
转换为jar包,然后用jd-gui.exe
得到源码 -
查看源码得到flag
flag{borring_things}
其他文档
-
CTF逆向-常用的逆向工具 提取码:pnbt
-
B站教程中国某省队CTF集训(逆向工程部分)
- 中国某省队CTF集训(逆向工程部分)(已授权)(一)
- 基础加密方式例如
XXTEA
、Base64
换表 - Python库
Z3
方程式、不定式等的约束求解
- 基础的假跳转花指令(脏字节)
- 非自然程序流程
- 扁平化程序控制流
- OLLVM程序流程(虚拟机壳) 很难一般不考
- ida里面按
X
键跟踪,寻找所有Ty
为w
的引用(即类型是写入的),通常就是关键位置
- 中国某省队CTF集训(逆向工程部分)(已授权)(二)
- ollydb动调去壳,upx为例子
- python的逆向和自定义虚拟指令
- 使用pycdc 提取码:dorr 解密python编译的exe或者pyc
- 逐条去解析用py字典手动实现的指令调用
- C++编译的程序的逆向
- 中国某省队CTF集训(逆向工程部分)(已授权)(三)
- 简单模运算加密
- base58 寻找一下特别大的数,这种数通常是算法的标识,或者ida7.7版本以上自带的
find crypt
插件ctrl+alt+f
- 常见的关键位置是有新的内存分配的地方通常是关键地方,或者函数中间突然return的地方也是
- 迷宫题 注意绘制出来就好
- 动调题
- 注意观察会执行的反调试分支,例如出现
int 3
,需要跳过去
- 注意观察会执行的反调试分支,例如出现
-
基本知识
更多CTF逆向题通用性做法和常用工具下载参考该博文内容:CTF逆向Reverse题的玩法