2021CISCN-Re-glass

最新推荐文章于 2021-09-14 14:57:17 发布
最新推荐文章于 2021-09-14 14:57:17 发布
阅读量171 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51713041/article/details/118071064
版权

glass

在这里插入图片描述

将so文件拖入IDA进行分析:

Java_com_ciscn_glass_MainActivity_checkFlag函数

bool __fastcall Java_com_ciscn_glass_MainActivity_checkFlag(int a1, int a2, int a3)
{
  char *input; // r4
  int key_len; // r5
  char key[256]; // [sp+0h] [bp-220h] BYREF
  char v7[260]; // [sp+100h] [bp-120h] BYREF

  input = sub_F0C(a1, a3);
  if ( strlen(input) != 39 )
    return 0;
  memset(v7, 0, 0x100u);
  qmemcpy(key, "12345678", sizeof(key));
  key_len = strlen(key);
  RC4_init(v7, key, key_len);
  RC4_crypt(v7, input, 39);
  crypt2(input, 39, key, key_len);
  return memcmp(input, &unk_497C, 39u) == 0;
}

一个标准的RC4加密之后,进行了另外一个加密crypt2

crypt2函数

int __fastcall sub_10D4(int input, int flag_len, int key, int key_len)
{
  int i; // r4
  int v5; // r6
  char v6; // r5
  char v7; // lr
  char v8; // r12
  int i_1; // lr
  int j; // r6

  for ( i = 0; i < flag_len; i += 3 )
  {
    v5 = input + i;
    v6 = *(input + i + 2);
    v7 = *(input + i + 1);                      // 每次循环取3个
    v8 = *(input + i) ^ v6;
    *(input + i) = v8;                          // 0 = 0 2
    *(v5 + 2) = v6 ^ v7;                        // 2 = 2 1
    *(v5 + 1) = v7 ^ v8;                        // 1 = 1 0 2
  }                                             // 0 1 2
                                                // 从每三位的第一位向左异或
																									//逆向的话就从每三位的第一位向右异或
  for ( i_1 = 0; i_1 < flag_len; i_1 += key_len )
  {
    for ( j = 0; (key_len & ~(key_len >> 31)) != j && i_1 + j < flag_len; ++j )
      *(input + j) ^= *(key + j);
    input += key_len;
  }
  return input;
}

解题脚本

#include <stdio.h>
#include <stdlib.h>

void rc4_init(unsigned char*s,unsigned char*key,unsigned long len)
{
    int i=0;
    int j=0;
    unsigned char k[256]={};
    unsigned char temp = 0;
    for(i=0;i<256;i++)
    {
        s[i]=i;         //0-255赋给s
        k[i]=key[i%len];   //将k重新计算
    }
    for(i=0;i<256;i++)
    {
        j=(j+s[i]+k[i])%256;    //给j赋值
        temp=s[i];
        s[i]=s[j];
        s[j]=temp;    //s[i]和s[j]交换
    }
}

void rc4_crypt(unsigned char*s,unsigned char*data,unsigned long len)
{
    int i=0,j=0,t=0;
    unsigned long k=0;
    unsigned char temp;
    for(k=0;k<len;k++)
    {
        i=(i+1)%256;            //固定方式生成的i
        j=(j+s[i])%256;          //固定方式生成的j
        temp=s[i];
        s[i]=s[j];
        s[j]=temp;             //交换s[i]和s[j]
        t=(s[i]+s[j])%256;      //固定方式生成的t
        data[k]^=s[t];          //来作为s的下标和data进行异或运算
    }
}

int main()
{
    unsigned char s[256]={0};
    int i=0,j=0;
    char key[256] = "12345678";
    unsigned char data[512]={0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02,0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA8, 0x2D, 0x42, 0xC7, 0x6E, 0x3F,0xB0, 0xD3, 0xCC, 0x78, 0xF9, 0x98, 0x3F, 0x00};
    unsigned long data_len = 39;
    unsigned long key_len = 8;
    for(i=0;i<39;i+=key_len)
    {
        for (j = 0; (key_len & ~(key_len >> 31)) != j && i + j < 39; ++j)
        {
            data[i+j] = data[i+j] ^ key[j];
        }
    }
    for(i=0;i<data_len;i+=3)
    {
        //向右循环回去
        data[i+1] = data[i] ^ data[i+1];
        data[i+2] = data[i+1] ^ data[i+2];
        data[i] = data[i+2] ^ data[i];
    }
    rc4_init(s,(unsigned char*)key,key_len);//初始化得到s
    rc4_crypt(s,(unsigned char*)data,data_len);//解密
    for(i=0;i<39;i++)
    {
        printf("%c",data[i]);
    }
    return 0;
}
syj-re
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISCN2021初赛(CTF360)——glass
yhfgs的博客
05-31 368
1.得到glass.apk文件,丢到JEB中,发现关键在so文件中。 2.把apk文件改扩展名,变为压缩文件(我改的zip),解压找到so文件。
第14届(2021)CISCN初赛WP(2)——Glass
InterplanetaryW的博客
06-15 368
Glass Writeup 首先使用apktool将“glass.apk”文件反编译 结果如下,提取其中Classes.dex文件 利用dex2jar工具进行反编译得到jar文件 生成jar包 使用jd-gui打开jar包,看到源码 核心判断函数如图所示 可以发现判断是利用checkFlag()函数 checkFlag为native外部函数 使用ida打开提取出的libnative-lib.so动态链接库 分析结束后可以在函数列表中很容易找到checkFlag()函数 使用F5进行反编译
CISCN2021 Reverse--glass
whiteman2的博客
05-19 695
题目下载地址: https://pan.baidu.com/s/1yJNibfcbQR7OnEbOme3G7A 提取码:xr1r 拿到题目先用jadx查看主函数. 我们可以发现验证输入的地方主要是在checkFlag的地方。然而在apk的源码中并没有发现相关代码。因此猜测在.so文件中。 可以看到这里的确加载了一个.so文件。然后我们通过jeb提取出.so文件,拖入ida进行分析。 在左边的窗口中发现了,验证的函数。直接f5查看伪代码。 可以看到最后是跟unk_497C进行比较,判断是否正确。但是前面
2021CISCN初赛re
寻梦&之璐
05-23 6274
文章目录baby.bc.bc转换为可执行程序fill_number(__int64)input)docheck(input, input):z3约束 baby.bc .bc转换为可执行程序 第一次拿到.bc的文件 查了一下,LLVM IR bitcode,二进制文件。想办法转换成.s,然后再转成可执行文件。(windows里面无法转成elf,最后编译成elf时,需要在linux里面进行 fill_number(__int64)input) docheck(input, input):z3约束 ..
CISCN2021初赛WriteUp
Hellsegamosken
05-19 989
第一次打 ctf,啥也没学,赛前一道题没做过,了解了下 IDA 的使用就上了。 glass 200 分 reverse,安卓逆向,.apk 改 .zip 解压,classes.dex 转 classes.jar 后打开,找到 MainActivity 开始读代码。 发现调用了 public native boolean checkFlag(String paramString); 这样一个函数,但这个函数并没有写出来。搜了一下 native 关键字,发现是用来调用本地 C 代码的。然后在 glass\li
looking-glass:易于部署的Looking Glass
04-29
易于部署用PHP制造的Looking Glass。 要求 Web服务器(例如Apache 2或Lighttpd等)… Web服务器PHP(> = 7.0)模块(例如Apache 2的libapache2-mod-php) 也需要XML软件包(例如,Debian上的php7.0-xml) 描述 这...
glass-isc-dhcp:Glass-ISC DHCP服务器接口
02-04
玻璃Glass是为了满足我们组织的生产ISC DHCP服务器无法满足的要求而创建的快速项目。我已决定将其共享给也觉得有用的任何人可以将更多功能和应用程序级功能扩展到界面中,但我的目标只是满足生产网络需求的高产量...
Talking-Smart-Glass-For-Blind
05-12
会说话的智能玻璃盲 市场上有多种智能配件,例如智能眼镜,智能手表等。 但是所有这些都是为我们打造的。 严重缺乏帮助残障人士的技术。 我想建立一些对视障人士有用的东西。 因此,我设计了可用于帮助视力障碍者的...
URP - Glass Shaders
11-29
unity插件,自己用过的一款在urp下的玻璃着色器,共同学习共同进步
VITacademics-Glass-iOS:适用于iOS的官方VITacademics应用
05-03
VITacademics-Glass-iOS 您将看到iOS的官方VITacademics应用程序。
2021CISCN RE WP
qq_45739995的博客
05-17 365
逆向题质量太高了,菜鸡比赛只做出来两个题。 其他的题会在赛后继续复现出来。 持续更新中… glass jeb打开主函数发现调用了native层 ida打开 输入长度39位 第一个函数跟进发现调用了rc4 第二个函数用v7对flag加密(数组移位+异或) 第三个直接对flag加密(三位一组进行加密处理+异或) 大体思路:根据已有的字符串,首先逆掉第三个函数 得到用rc4数组加密后的 然后求出rc4的数组 最后在第二个函数里进行异或拿到flag (变量名用的有点乱) #include<stdio.h&
linux命令
sdaujsj1的博客
03-20 437
cd usr //进入该文件夹内 mkdir xiepanpan//创建xiepanpan文件夹 pwd //显示所在的路径位置 echo Hello &amp;amp;gt;file1 //把echo 后的内容输入文件file1中,大于号表示输出,若文件存在直接输入到文件中,不存在 先创建文件再输入到文件中 echo world! &amp;amp;gt;file2 //同上 把world...
CISCN2021 部分逆向WP
jinxxxxxx的博客
05-21 620
glass 调用了native-lib libnative.so拖入ida 第二次变化 写脚本 from Crypto.Cipher import ARC4 data = [0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA
2020 ciscn 东北分区赛 re题解
Air_cat的博客
09-19 414
唉,居然没师傅出re题,悲伤 此题考点在于抓取或解密出迷宫,这里我用的原函数进行生成,改改几个定义就可以输出迷宫了: #include<stdio.h> #include<string.h> #include<windows.h> #include<string.h> #include<tchar.h> #include<stdint.h > //#+OXJ xnB1 QWT4 9cnW cGFB ZOjn yfZo ZV1m 7+/
CISCN2021_华南初赛_记录
ScyLamb的博客
05-16 1178
easy_sql hint:一个简单的sql注入题目 打开一个登录框,随便测试下,发现报错了 直接报错注入Payload打一波 失败,回显no,开始跑字典 过滤了 column和可以获取表名的表 如: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pQ9yJBow-1621160008407)(image/国赛.image/image-20210515151503088.png)] 尝试盲猜表名【后面发现sqlmap爆破表名也可以跑出来】 最后成功两个 users,fla
Android逆向题解4-EasyJni
u013170888的博客
04-12 327
运行界面: 找flag,用户输入一串字符串点击cheek确认输入是否正确 代码分析 判断用户输入字符串是否正确 先用一个a方法加密之后传入native函数ncheck进行判定;也就是在Java层有一次加密,在native层还有一次加密; Java层的加密,类似一个换了码表的base64加密; package com.a.easyjni; public class a { priva...
ciscn2021西北部分pwn
mishixiaodai的博客
05-16 1485
打了一天的国赛,发现自己还是太菜了 pwny 读取随机数到bss段上作为文件描述符范围在0~0xff之间,又在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作,sub_b20可以根据偏移进行任意读操作,因此就可以覆盖fd的值,爆破fd使其等于0,我们就可以进行任意读写 我们可以通过泄露出bss段上的stdout指针指向的_IO_2_1_stdout_的地址来泄露libc的基地址,在通过泄露data段上的off_202008来泄露bss段上的地址,再通过libc上的environ来泄露栈地址。
2021国赛CISCN 初赛 部分RE writeup
weixin_45803474的博客
09-14 370
glass 题目名称:glass 题目描述:Reverse sign in,flag形式为"CISCN{XXXXX}" 首先查看apk 界面如下 用AndroidKiller打开,反编译成java源码 这里只是声明了一下checkflag函数 要去native-lib里找 分析\glass\Project\lib\armeabi-v7a中的libnative-lib.so IDA打开 怀疑是RC4加密 参考 https://www.cnblogs.com/SunsetR/p/12247041.html
IDA动调exe
m0_51713041的博客
01-09 4802
动调exe文件: 步骤:1.找到文件夹IDA目录下的dbgsrv文件夹,找到对应版本的win_32或者64remote.exe,点击运行。 2.打开ida,将exe拖入,Debugger → Select a debugger → Remote windows debugger 3.Debugger → process options → 填写三行(第一,二行为 文件的路径,第三行为空,也可设置为文件对应的根目录) 和 Hostname设为127.0.0.1(代表本机) → ok 4.附加程序:先运
mackey-glass
最新发布
05-26
Mackey-Glass是一种非线性动力系统,用于模拟心跳、血压等生理现象以及金融市场等非线性时间序列。它由R.M. Mackey和L. Glass在1977年提出,可以表示为以下迭代方程: x(n+1) = x(n) + (ax(n-k)/(1+x(n-k)^b)) - cx...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值