BUGKU WP-signin

最新推荐文章于 2022-11-02 09:09:04 发布
最新推荐文章于 2022-11-02 09:09:04 发布
阅读量394 收藏
点赞数
分类专栏: BUGKU WP 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55631425/article/details/124655666
版权
该博客探讨了如何将安卓应用.apk文件转换为.zip压缩包并进行解压,重点在于利用Apktools进行资源定位。通过查看资源文件夹、classes.dex以及strings资源,作者尝试寻找程序代码和字符串资源。在dex转jar的过程中,发现与R目录中的string关联,并探索了可能的解密方法。整个过程涉及到了安卓应用的逆向工程和资源解析。
摘要由CSDN通过智能技术生成

将.apk文件转化为zip压缩包,解压(apk为andior应用软件如果转化为zip或rar打不开或缺少软件可以apktools解压)
在这里插入图片描述

打开后从上到下分别是,程序的签名文件夹,资源文件夹,权限与窗体(Activity)声明文件,classes.dex,程序代码部分在这里面(众所周知的是,这也是一个压缩包),还有最后一个依旧还是资源文件,不过里面放着我们的字符串资源啦(翻译的时候就用他)。

可以从字符串资源resources.arsc入手,但能找到的实在是太多了,试着翻一下classes.dex文件
在这里插入图片描述

再使用Apktools Box打开dex转的jar:
在这里插入图片描述

翻找,发现:
在这里插入图片描述

发现与R目录中string有关联搜索这串数字,定位到:
在这里插入图片描述

对应资源名->toString

这里就需要使用apktools解压,zip解压软件解压的文件夹下的资源不全,打开解压后的文件夹
在这里插入图片描述

找到values
在这里插入图片描述

用浏览器打开
在这里插入图片描述在这里插入图片描述

感觉也不太对,不像base64:
在这里插入图片描述

试下倒叙
在这里插入图片描述
在这里插入图片描述

Lear.Du
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF-Bugku逆向题Android方法归纳
am_03的博客
08-28 1404
1.signin题目: reverse() 功能:反转数组里的元素的顺序 语法:arrayobject.reverse.() 这类方法会改变原来的数组,不可逆转 tostring() 功能:将各类进制的数字转化为字符串 语法:number.toString(radix)(radix代表进制数) 字符串的管理地方是string.xml java在引用函数时要倒着引用 StringBuffer 当对字符串进行修改的时候,需要使用 StringBuffer 和 StringBuilder 类。 和 String
Learn-wp-cli:命令行,WP-CLI和自定义WP-CLI命令入门
02-05
**WP-CLI(WordPress Command Line Interface)是WordPress开发和管理中的一个强大工具,它允许用户通过命令行界面执行各种操作,而无需通过图形用户界面。本教程将带你深入理解WP-CLI,包括如何安装、使用基础命令...
Bugku——signin
王嘟嘟的博客
11-14 3566
0x00 前言 今天突然来一看,发现bugku更新了,正好来看一看。 本来以为只是一道前道题的。结果里面的道道还是有一点多的。我们接下来就分享一下思路,以及做法。 0x01 start 其实拿到这种都是要先安装看一下的。我能说我有一点懒么。 你们自己看一看就好。 我们使用AndroidKiller反编译。 然后回编译测试一下。 一道签到题,连回编译都不行了??? 试一下直接看java源码 ...
BugKu逆向之02-Sign-in.apk
ACGeny的博客
08-15 544
BugKu逆向之02-Sign-in.apk一、文件描述二、解题思路 一、文件描述 正儿八经的apk压缩文件,, 可以运行 1.28MB 好,,现在开始分析它,,, 二、解题思路 首先拿到这个文件,,第一反应是动态运行试试看,, 放到genymotion模拟器中运行,,它提示让你输入密码,,参照上图,, 随便输入密码试试看,,提示Toast为“try again”。。. 这,,,好吧,, 然后androidkiller打开,,静态反编译看看源码逻辑,,, 提示无法下一步源码反编译。。。这。。。
Bugku逆向——signin
qq_43470425的博客
07-12 867
signin 君远至此,辛苦至甚。 窃谓欲状,亦合依例,并赐此题。 androidkiller反编译,查看MainActivity.class里面的java代码。 里面涉及到base64解密、getFlag()函数、reverse()反转字符串、toString()字符串转化。 getFlag()函数使用到资源d为2131427360的字符串,在R.string文件找到id对应变量名为toString。 在strings.xml中找到变量名为toString对应的值。 使用python脚本解密: f
Bugku Reverse signin
m0_63735735的博客
07-22 264
bugku re signin
Bugku 五道reverse新手题
太阳照耀我走四方
07-15 713
BugKu五道reverse新手题 1.入门逆向 考点:简单的IDA操作,按R转换字符 用PE查看软件信息,32位。 直接拖入IDA32位打开。! 既然是32位的IDA,打开之后,F5查看伪代码,没有结果。 在主main函数里能看到 按R转换为字符。 得到flag。 总结:这个题入门题,主要按R转换就行。 2.signin 考点:安卓逆向,base64转换 拿到文件看到后缀名是apk,想到应该是安卓文件。 用PE看看。 用IDA打开看看。 直接一堆数据。摸不着思路,百度一下。发现是安卓逆向
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
"All In One WP Migration" 插件正是为此而生,它为用户提供了一种简单、高效的解决方案,实现了WordPress网站的无限制导入与导出功能。这款插件由马里奥·马尔科维奇(Mario Markovic)开发,其最新版本为6.77,以...
wp-script-core
09-07
标签"wp-script-co"可能是一个简化的版本或者错误,完整的可能是"wp-script-core",用于标识与标题相关的关键词,帮助用户搜索和识别这个插件。在WordPress插件目录中,通常会用这样的标签来分类和组织插件。 **...
change-wp-content:将重命名 wp-content 目录的 Wordpress 插件
06-16
更改 wp-content 将 wp-content 目录重命名为“media”的 Wordpress 插件,这可能有助于提高站点安全性。 插件有什么作用? 一方面,它将以下定义添加到您的 wp-config 文件的适当位置: define ( 'WP_CONTENT_...
wordpress采集插件wp-autopost-pro wordpress4.9以上版本完美使用
08-19
【WordPress采集插件WP-AutoPost-Pro】 WordPress采集插件WP-AutoPost-Pro是一款功能强大的自动化内容采集工具,特别适用于WordPress 4.9及以上版本。它允许用户从互联网上自动抓取并发布内容,极大地提高了内容...
BUGKU sign_in
weixin_41421812的博客
10-04 330
APK工具: APK反编译_Android小码农的博客-CSDN博客_apk反编译https://blog.csdn.net/s13383754499/article/details/78914592 1.源码 可以看出flag内容在strings中 2.打开strings.xtml文件
bugku安卓部分题解
qq_42892021的博客
12-14 3749
bugku安卓部分题解 一、signin 1、首先将APK放进模拟器中运行,查看其报错关键字“Try again”,为后面做关键词定位做准备 2、利用APKIDE加载APK并进行反汇编 3、搜索“Try again”定位到Mainactivity.class利用jd查看其java源码(如果smali基础较好可以直接看smali代码)    源码: public c...
bugku-安卓-signin
weixin_43980115的博客
04-10 2517
知识点: reverse() 功能:反转数组中的元素的顺序 语法:arrayobject.reverse.() 这种方法会改变原来的数组,不可逆转 tostring() 功能:将各种进制的数字转化为字符串 语法:number.toString(radix)(radix代表进制数) 字符串的管理地方是string.xml java在引用...
BugKu WP 合集
Chmaz的博客
05-27 785
BugKu MISC&Crypto 题解合集
Bugku之Crypto(前十部分WP
金 帛的博客
04-26 1086
Bugku密码题WP
Bugku题目Crypto密码部分wp(持续更新)
苦行僧的妖孽日常
11-02 647
Bugku题目Crypto密码部分
bugku-渗透测试1通关 wp
qq_45414878的博客
10-13 4964
bugku 渗透测试1 靶场通关手册,祝你快速通关!
bugku---逆向--逆向入门
weixin_43980115的博客
03-13 934
#知识点 ##PE文件:可执行文件,后缀名有exe,dll,ocx,sys,com ##notepad++:类似于winhex,但是他不会出现十六进制,此外,还可以进行文本编译,支持多种语言和语法 ##data:image/png base64问题:目的是将一些小的数据,直接嵌入到网页中,从而不用再从外部文件载入。我们把图像文件的内容直接写在了HTML(即网页中) 文件中,这样做的好处是,节省了一...
wp-rest-api jwt
最新发布
09-13
WP-REST-API 是WordPress 的一种接口,它通过提供标准化的RESTful API,允许开发人员使用HTTP请求来访问和操作WordPress站点的内容和数据。通过这个接口,开发人员可以使用不同的编程语言和技术来与WordPress进行交互,从而使得开发更加灵活和自由。 JWT(JSON Web Token)是一种用于认证和授权的开放标准。它通过将用户信息和权限信息编码成一种加密的令牌,以实现跨服务器和跨域的身份验证。JWT 是由三部分组成的:头部、负载和签名。头部包含令牌的加密算法和类型信息,负载包含用户的相关信息,签名用于验证令牌的真实性和完整性。 WP-REST-API JWT整合了WordPress的REST API和JWT的认证机制,使得在使用WP-REST-API进行开发的过程中,可以增加身份验证和授权的功能。它允许开发人员在请求WordPress REST API时,通过在请求头或参数中提供有效的JWT令牌来验证用户的身份和权限,并根据令牌中的负载信息来进行授权。 WP-REST-API JWT的使用具有很多优势。首先,它提供了一种轻量级的身份验证方式,减少了开发的复杂性。其次,通过JWT令牌的机制,可以实现无状态的认证和授权,提高了性能和可扩展性。此外,JWT还提供了一种可靠的机制来防止伪造和篡改请求数据,增强了系统的安全性。 总而言之,WP-REST-API JWT为开发人员提供了一种方便、灵活和安全的方式来使用WordPress的REST API。它简化了身份验证和授权的过程,并通过使用JWT令牌提高了系统的性能和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lear.Du

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值