简单逆向6(安卓,算法逆向,os)

最新推荐文章于 2022-11-15 22:54:20 发布
最新推荐文章于 2022-11-15 22:54:20 发布
阅读量415 收藏 1
点赞数
分类专栏: 笔记 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49936845/article/details/119739433
版权
笔记 同时被 2 个专栏收录
54 篇文章 2 订阅
订阅专栏
ctf
35 篇文章 5 订阅
订阅专栏

先了解一个关键字
NATIVE 静态链接

首先用jeb打开:
在这里插入图片描述
找到MainActivity(Tab反汇编):

package com.sec.ctf2;

import android.app.Activity;
import android.os.Bundle;
import android.view.View$OnClickListener;
import android.view.View;
import android.widget.Toast;

public class MainActivity extends Activity {
    private static final int FLAG_LEN = 15;
    private static final String TAG = "main";

    public MainActivity() {
        super();
    }

    protected void onCreate(Bundle arg4) {
        super.onCreate(arg4);
        this.setContentView(0x7F030000);
        this.findViewById(0x7F070001).setOnClickListener(new View$OnClickListener(this.findViewById(0x7F070000)) {
            public void onClick(View arg6) {
                try {
                    String v1 = this.val$etFlag.getText().toString();
                    if(v1 == null) {
                        Toast.makeText(MainActivity.this, "Invalid flag!", 0).show();
                        return;
                    }

                    if(v1.length() != 15) {
                        Toast.makeText(MainActivity.this, "Invalid flag!", 0).show();
                        return;
                    }

                    if(HelloJni.getFlag(v1.getBytes("utf-8"))) {
                        Toast.makeText(MainActivity.this, "You win!", 0).show();
                        return;
                    }

                    Toast.makeText(MainActivity.this, "Sorry, try again!", 0).show();
                }
                catch(Exception v0) {
                    v0.printStackTrace();
                }
            }
        });
    }
}

流程比较简单,flag长度是15,HelloJni.getFlag(v1.getBytes(“utf-8”)非0就可以输出You win

双击进入getFlag定义

package com.sec.ctf2;

public class HelloJni {
    static {
        System.loadLibrary("hello");
    }

    public HelloJni() {
        super();
    }

    public static native boolean getFlag(byte[] arg0) {
    }
}

却发现没有代码,这是怎么回事,还没学java,问了其他师傅,native关键字连接静态链接库hello,上面也能看到loadLibrary(“hello”),所以check密码的代码在os文件(静态链接库)中

怎么看静态链接库呢?
在上面窗口中我们看到了这个os文件,在这里插入图片描述

可以直接把apk后缀改成zip,然后解压,把里面的os文件使用IDA打开:

在这里插入图片描述
打开以后,在函数窗口搜索(ctrl + f):hello
找到这个函数然后反汇编

在这里插入图片描述
但是发现提示aFlagIsNotHere;

在查看这个字符串的时候,下面有可疑字符

在这里插入图片描述
交叉引用:

int __fastcall sub_1104(int a1, int a2, int a3)
{
  int v3; // r5
  int v4; // r4
  char *v5; // r6
  size_t v6; // r0
  signed int v7; // r4
  unsigned __int8 *v8; // r0
  unsigned __int8 *v9; // r5
  size_t v10; // r0
  signed int v11; // r2
  _BYTE *v12; // r3
  int v13; // t1
  const char *v14; // r2
  int result; // r0
  int v16; // r3
  int v17; // t1
  int v18; // t1

  v3 = a1;
  v4 = a3;
  v5 = (char *)(*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)a1 + 736))(a1, a3, 0);
  v6 = (*(int (__fastcall **)(int, int))(*(_DWORD *)v3 + 684))(v3, v4);
  v7 = v6;
  v8 = (unsigned __int8 *)malloc(v6);
  v9 = v8;
  if ( v7 <= 0 )
  {
    v8[v7] = 0;
LABEL_11:
    LOBYTE(result) = 1;
    return (unsigned __int8)result;
  }
  v10 = strlen(byte_4028) + 47;
  v11 = v7;
  v12 = v9;
  do
  {
    v13 = *v5++;
    --v11;
    *v12++ = byte_4028[v10 - v13] ^ 0x5F;
  }
  while ( v11 );
  v9[v7] = 0;
  if ( v7 < 1 )
    goto LABEL_11;
  v14 = "vrt~rzey{vvyt{v";
  LOBYTE(result) = 1;
  do
  {
    v17 = *v9++;
    v16 = v17;
    v18 = *(unsigned __int8 *)v14++;
    if ( v18 != v16 )
      LOBYTE(result) = 0;
    --v7;
  }
  while ( v7 );
  return (unsigned __int8)result;
}

这里就是c语言了,有人会好奇,为什么安卓里面有c语言,这就看上面的native了。

流程比较简单,但是好像有两个地方不好理解:

  v5 = (char *)(*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)a1 + 736))(a1, a3, 0);
  v6 = (*(int (__fastcall **)(int, int))(*(_DWORD *)v3 + 684))(v3, v4);

上面是输入的字符串,下面的是字符串的长度,也就是15
从程序看我也不知道为什么,这是后面的算法看出来的。

写逆向的脚本:
python3

x = 'vrt~rzey{vvyt{v'
y =  [0x21, 0x3A, 0x23, 0x24, 0x25, 0x26, 0x28, 0x29, 0x2B, 0x2D]#)-+!-%:&$))&+$)
flag = ""

for i in range(15):
    for j in range(10):
        if y[j] == 0x5F ^ ord(x[i]):
            flag += chr(57-j)
print(flag)

在这里插入图片描述

I Am Rex
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安卓逆向_15( 一 ) --- JNI 和 NDK
墨鱼菜鸡
07-11 561
From:较详细的介绍JNI:https://blog.csdn.net/lizhifa2011/article/details/21021177 From:https://www.jb51.net/article/126111.htm NDK官方文档:https://developer.android.google.cn/training/art...
OS逆向之二--逆向技术基本操作(未完成)
阿党的专栏
08-25 465
参考这边文章一步步操作: http://dev.qq.com/topic/577e0acc896e9ebb6865f321砸壳目的:只有砸壳应用才能class-dump出头文件。 1. 首先通过pp助手,将dumpdecrypted.dylib放到微信的Documents目录中。 2. 进入微信安装目录,用dumpdecrypted.dylib进行砸壳 find / -name “W
逆向基础 OS-specific (一)
weixin_33912246的博客
03-08 350
左懒 · 2015/08/13 13:0064章 传递参数的方法64.1 cdcel这种传递参数的方法在C/C++语言里面比较流行。如下的代码片段所示,调用者反序地把参数压到栈中:最后一个参数,倒数第二个参数,第一个参数。调用者还必须在函数返回之后把栈指针(ESP)还原为初始状态。Listing 64.1: cdeclpush arg3 push arg2 push arg1 call funct...
编程逆向基础
m0_37833811的博客
11-15 1081
编程逆向基础
010Edit分析 爆破 + 算法逆向 + 注册机编写
热门推荐
qq_29994143的博客
10-12 1万+
爆破 假码 pName = xuanci pKey = 00112233445566778899 登录出错 复制错误信息 --------------------------- 010 Editor --------------------------- Invalid name or password. Please enter your name and password exactly as given when you purchased 010 Editor (make sure no quo
快手NStokensig和sig全算法易语言源码
08-08
__NStokensig = kso.GetNStokensig (kso.GetSign (“commentId=123806186657&photoId=5217983133422862907&client_key=3c2cd3f3&token=6b165d04e92f475d9c4a55803582d463-275079014&os=android&sig=000e291e5338af...
Android代码-ApkReinforce
08-06
5. **防调试策略**:在Java代码中检测`System.getProperty("java.vm.name").contains("Dalvik") && Debug.isDebuggerConnected()`,或监听`android.os.Debug.waitForDebugger()`。 6. **签名验证**:在代码执行前,...
mpeg3play-0_9_6-src.rar_mp3_mp3 decoder
09-14
无论是在Windows、Linux、Mac OS X,甚至是嵌入式系统如Android或RTOS上,只要满足必要的编译环境,都可以编译并运行此解码库。这为开发跨平台的音频播放软件提供了便利。 此外,解码库通常需要处理不同比特率、...
解决滑块的神奇方法的文件
12-27
CV2指的是OpenCV2,OpenCV是一个基于BSD许可(开源)发行的跨平台计算机视觉库,可以运行在Linux、Windows、Android和Mac OS操作系统上。它轻量级而且高效——由一系列 C 函数和少量 C++ 类构成,同时提供了Python、...
DB Browser for SQLite.app.zip
11-07
解密过程需要特定的密钥和算法,这通常涉及到对微信应用的逆向工程。虽然这不是一个简单的任务,但有一些第三方工具和教程可以帮助你完成这个过程。 解密后的"MicroMsg.db"文件可以无缝地导入DB Browser for SQLite...
android ios 逆向工程,iOS逆向工程(七):使用Theos逆向项目
weixin_33873297的博客
05-25 452
使用Theos逆向项目一、Theos是什么?Theos是一套跨平台的开发工具,用于在不使用Xcode的情况下开发、部署iOS插件,大多数插件开发人员都使用Theos。Theos工具套件包含一些重要组件:Make构建系统,由GNU Make驱动的强大构建系统,能够直接创建.deb软件包,并在Cydia中分发配置好Theos后,就可以使用Theos中的tweak模板,快速创建逆向工程,并使用Logos...
C++中_cdecl _stdcall _fastcall _thiscall函数调用总结(对照汇编代码)
jrl137824675的专栏
03-08 1030
首先,我们要学会在Visual Studio 2008中学会查看C++代码对应的汇编代码。 给程序添加断点并开始调试程序后,对文件中间右键=》转到反汇编,即可看到汇编代码。 汇编代码用//注释,说明用/**/注释,分别使用基本数据类型、数组、指针、引用四种数据类型的参数进行比较,代码如下: #include <iostream> using namespace std...
解析 GetRerootedSIL
心想事成
12-14 634
解析 GetRerootedSIL       GetRerootedSIL( class`anonymous namespace'::CNtStoreCreationParameters const &, classWindows::Auto *)       //----- (1011F3CE)----------------------------------------
ida pro so文件f5后伪c后的 jni函数优化
大老的逆向专栏
09-30 4351
ida pro so文件f5后伪c后的 jni函数优化 自己写的原创工具生成的伪c代码进行处理以下是部分结果的例子 int __fastcall Java_com_esun_util_libc_JNINativeInterface_getRewardOptimizeResult(int a1, int a2, int a3, int a4, int a5, int a6) {   in
一次还原算法的另类途径——动态库引用
inquisiter
12-13 1166
一次还原算法的一类途径一般来说我们还原算法,就要老老实实的静态分析,动态分析,有反调试就国反调试。不过我现在发现,现在的反调试越来越不好过了,加上还有部分签名验证等乱七八糟的东西。就真的让人苦闷了。本次我们另辟蹊径,我们不过反调试和签名验证。直接把关键算法的库给他扒出来,在我们自己的应用中分析。你这回没辙了吧。关键算法位置这个比较容易,静态分析直接上,没啥好说的,直接上代码int __fastcal
APK调试
kernweak的博客
06-22 6192
源码的情况下,对APK的动态调试主要分为两种: smali汇编动态调试 arm汇编动态调试 Smali汇编动态调试 对smali汇编的动态调试主要分为两种: 使用ida进行调试 使用IDE + apktool进行调试 Eclipse + apktool Android studio + apktool Idea + apktool … 使用jeb2.2以后版本调试 IDA 调试smali ...
Android reverse 攻防世界 easyjni
XFox_的博客
09-05 254
easyjni 模拟器打开界面 JEB打开MainActivity,发现调用了a方法 而a方法又调用了a类 a类很明显是base64改变的,有了新的解码表,缺少了对比的字符串,我们转回MainActivity,找到一个id:0x7F0B0075 public class a { private static final char[] a; static { a.a = new char[]{'i', '5', 'j', 'L', 'W', '7', 'S', '0',
android游戏编程之从零开始_Android算法逆向学习笔记之2016腾讯游戏安全移动赛题Tencent2016A(含注册机)...
weixin_39942191的博客
11-24 140
听说这个是这个题是2016年腾讯游戏移动安全赛的题主要是注册机的编写以前自己学习拿来练习ARM汇编和算法逆向的自己写的ARM的汇编的就不贴了 这里主要是F5后的java层定位关键点夜神模拟器安装apk,输入name和code: 打开Androidkiller搜索字符串Check Fail! 找到关键点,发现了一个NativeCheckRegister找到NativeCheckReg...
ida逆向分析实例1
momodeconger的博客
03-27 886
下图列出了int Add(int,int);的逆向结果和源代码: 基础知识: lea 指令将操作数的地址复制给寄存器。 eax寄存器用于保存返回值。 __fastcall调用约定的作用是,参数中,从左到右的前四个字节的参数会被放到寄存器中(正常的参数都是放入栈中的),来加快函数调用。 rcx和rdx是64位的寄存器,对应ecx和edx。 rcx和rdx和__fastcall有关系,代表第一个和第二个参数。 疑问?retn 会将esp的值加4(相当于一个出栈操作),这个出栈的数据是啥? ...
逆向最大匹配算法举例
最新发布
08-23
引用中提到,逆向最大匹配算法虽然简单,但在处理一些语句上不能准确地分词。现在的分词算法通常采用基于统计概率模型的算法,如maxent或CRF等,这些算法在分词效果上比逆向最大匹配算法好。因此,逆向最大匹配算法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I Am Rex

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值