看雪ctf2017 |WP Ericky.apk

最新推荐文章于 2023-12-20 17:05:11 发布
最新推荐文章于 2023-12-20 17:05:11 发布
阅读量678 收藏
点赞数
分类专栏: android CTF 文章标签: 算法 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33438733/article/details/79843768
版权
CTF 同时被 2 个专栏收录
61 篇文章 5 订阅
订阅专栏
android
34 篇文章 0 订阅
订阅专栏

参考文章
https://blog.csdn.net/wmh_100200/article/details/73368859
https://bbs.pediy.com/thread-218455.htm

前言

看雪的ctf还是很有水平的,我这菜鸡表示只能看看

分析

用jeb打开,发现做了很恶心的混淆,汗颜。使用n键对变量重命名。
这里写图片描述
java层的分析我就不写了,这题的考点在于so层算法的分析以及指令的混淆。
ps:我几乎用了一天的时间,去看这个check函数

去除指令混淆

要么手动的patch要么写个脚本去除,我看还是写个脚本吧,我刚开始手动patch,实在是太累了!!!

#include <idc.idc>

static main()
{
    auto i,pos,size,JMP_SIZE,FLOWER1_SIZE,FLOWER2_SIZE;
    pos=0x286C; //START
    size=0x1A000;//SIZE
    JMP_SIZE = 0x40;
    FLOWER1_SIZE = 0x1e;
    FLOWER2_SIZE = 0x8;


    for ( i=0; i < size;i++ ) {
        //PATCH JMPS
        if (
            (Byte(pos)==0x13)&&(Byte(pos+1)==0xe0)&&(Byte(pos+2)==0xbd)&&
            (Byte(pos+3)==0xe8)&& (Byte(pos+4)==0xf0)&&(Byte(pos+5)==0x47))
        {
            for(i=0;i<JMP_SIZE;i++)
            {
                PatchByte(pos+i,0x0);//change
            }
            HideArea(pos,pos+JMP_SIZE,atoa(pos),atoa(pos),atoa(pos+JMP_SIZE),-1);
            continue;
        }

        // PATCH FLOWER1
        //.text:00002A80 B1 B5                       PUSH            {R0,R4,R5,R7,LR}
        //.text:00002A82 82 B0                       SUB             SP, SP, #8
        //.text:00002A84 12 46                       MOV             R2, R2
        //.text:00002A86 02 B0                       ADD             SP, SP, #8
        //.text:00002A88 00 F1 01 00                 ADD.W           R0, R0, #1
        //.text:00002A8C A0 F1 01 00                 SUB.W           R0, R0, #1
        //.text:00002A90 1B 46                       MOV             R3, R3
        //.text:00002A92 BD E8 B1 40                 POP.W           {R0,R4,R5,R7,LR}
        //.text:00002A96 01 F1 01 01                 ADD.W           R1, R1, #1
        //.text:00002A9A A1 F1 01 01                 SUB.W           R1, R1, #1

        if (
            (Byte(pos)==0xb1)&&(Byte(pos+1)==0xb5)&&(Byte(pos+2)==0x82)&&(Byte(pos+3)==0xb0)&&
            (Byte(pos+0x1a)==0xa1)&&(Byte(pos+0x1b)==0xf1)&&(Byte(pos+0x1c)==0x01)&&(Byte(pos+0x1d)==0x01))
        {
            for(i=0;i<FLOWER1_SIZE;i++)
            {
                PatchByte(pos+i,0x0);
            }
            HideArea(pos,pos+FLOWER1_SIZE,atoa(pos),atoa(pos),atoa(pos+FLOWER1_SIZE),-1);
            continue;
        }

        //PATCH FLOWER2
        // "PUSH.W {R4-R10,LR}"
        // "POP.W {R4-R10,LR}"

        if (
            (Byte(pos)==0x2d)&&(Byte(pos+1)==0xe9)&&(Byte(pos+2)==0xf0)&&(Byte(pos+3)==0x47)&&
            (Byte(pos+4)==0xbd)&&(Byte(pos+5)==0xe8)&&(Byte(pos+6)==0xf0)&&(Byte(pos+7)==0x47))
        {
            for(i=0;i<FLOWER2_SIZE;i++)
            {
                PatchByte(pos +i,0x0);
            }
            HideArea(pos,pos+FLOWER2_SIZE,atoa(pos),atoa(pos),atoa(pos+FLOWER2_SIZE),-1);
            continue;
        }
        pos++;
    }

    Message("\n" + "DE-FLOWERS FINISH BY Ericky\n");
}

重新create function

手动的删除check和jni_load中间的函数,然后重新create_function,之后便可以使用F5反汇编了。虽然仍存在很多混淆指令,但这样已经可以看到check的整个代码了。
可以使用流程图,看整个函数的执行过程
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
接下来就是需要动态调试去跟了。

动态调试

由于我们修改了so文件,因此在加载的时候要注意。使ida加载本地的so,而不是手机中的so(只需要默认选择就好)
这里写图片描述
经过初始化后可以看到该值,这一串字符就是最终我们需要匹配的。也就是最后的密文。
这里写图片描述

19931012应该就是加密的密匙

最后分析算法(可能也是猜测吧,分析是不可能的,永远也不可能的!),可以知道为rc4算法,找一个在线rc4加解密的网站。最后可以解得密码madebyericky94528

总结

可以说这题折腾了很久,但是最终还是没有整出来,一方面是对指令混淆不熟,说白了也就是对arm指令不熟,另一方面就是对各种算法的反汇编不熟悉,真的很难。而且这两天我心情也不好,很难静下心来仔细的分析。这篇文章匆匆写下,其实那个rc4算法我还是没有看懂,而且密匙为什么是199931012而不是199310124853呢?问题还有很多,我不想折腾了。算法看重的不是加密的过程,而是注意输入和输出,抓住这两点,那么即使这个算法你识别不出来,也是可以看懂的。
这两天心情真的是糟透了,每天都活的很累,好好的假期,每天却如同末日一般。我的心悬在高处,只能用枯燥的指令占据我的逻辑。
程序员是孤独的,因为很少有人能懂他在干什么。不奢求别人能懂,只希望在放松的时候能有人嘘寒问暖 –2018.4.7

坚强的女程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
看雪ctf2017第一题详解
zsd747289639的博客
06-10 1811
第一步、先瞅瞅 随便输入点啥,发现如下报错 第二步、Od加载程序,下断点 一般这种程序,第一感觉就是在下api断点,右键->查找->当前模块中的名称 找到getDlgItemTextA 右键->在输入函数上切换断点  设置断点 F9运行程序,程序断在了此处 第三步,算法分析 一路f8执行到retn返回,来到 这里我们看到它调用了一个wann
ctf-2015挑战rps.apk
03-06
ctf-2015挑战rps.apk,算出 该apk native函数 calc 返回值为多少。
看雪ctf 流浪者 WP
Casuall的博客
03-19 904
看雪ctf 第一题 流浪者 wp   打开程序,提示要验证password,载入OD,按照签到题的思路,改了一个跳转,出现了提示框pass,但是没有flag,应该不是这种思路(我是一个刚入手的萌新,可能没改全,所以出不来flag,只能换一个思路了)。一步一步调试,发现程序比较的字符串和我输入的不一样,我输入了一堆1,但是发现最终比较的是一堆b,所以应该是中间做了一些处理,如图,重新调试,发现了一个...
看雪CTF.TSRC 2018 团队赛 第一题 初世纪 writeup
xuenixiang.com
12-03 634
这个 writeup我花了1个多小时才写出来,我感觉这已经不是 writeup了,这简直就是解题图文教程!! 每个人都是从新手过来的,几年前我初学逆向的时候,看到大牛写的 writeup,一头雾水,根本看不懂,所以我写这么详细是想让更多初学逆向的朋友能跟学会这门技术,感受她的魅力····   首先用PEID看一下有没有壳,发现没有壳,而且是个64位程序,这时候就可以排除用OD分析的可能了(很...
看雪CTF第十题
weixin_33953249的博客
07-17 145
__int64 sub_140006F50() { __int64 v0; // r8@1 __int64 v1; // r9@1 signed __int64 len; // rax@1 __int64 v3; // r8@4 __int64 i; // rdx@4 char anscii; // cl@5 char v6; // al@9 ...
看雪CTF 2017 第六题设计思路和解题思路
Beautiful Attack and Defence
06-14 1678
这道题主要需要花时间搞清楚套路,就迎刃而解了。^_^ 1.java层稍作字符串加密和类名方法名混淆处理(本来是打算java层也做点文章的@_@) 解题:通过阅读代码,可以知道check函数为关键函数,当返回为真的时候,注册成功。2.so层用花指令对程序指令进行混淆,在一定程度上防止分析。解题:编写去花指令脚本,F5就会变得很简单。去花后check函数如下: 这样就能很清楚看到注册过程了,第一个w
2_base.apk.1.1
12-14
2_base.apk.1.1
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF Wiki 2017.12.27
01-20
CTF Wiki 2017.12.27 CTF Wiki 2017.12.27 CTF Wiki 2017.12.27
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
看雪CTF-MISC类型题之巍然不动
qq_43550342的博客
04-24 708
看雪CTF-MISC类型题之巍然不动 题干: 隐写题。\“I am not crazy, my mother had me tested.\” (Sheldon) What did Sheldon … huh sorry, Dr. Cooper really mean? 请下载wrbd.zip。 这是一道隐写题,先将wrbd.zip解压出来,解压之后发现就一个exe文件,双击之后会是一张谢耳朵教授的人像,可能会有的人误认为这是道逆向题吧,题干中已经很清楚地描述了这是一道隐写题, ...
看雪 KCTF GMAE 闯关记
shao65308的专栏
08-29 2215
用010editor打开,修改压缩文件加密标志位为00,保存后就没有密码了。如果不能识别把 / 替换成空格。
看雪ctf部分题解
蚁景网安学院
07-18 940
点击上方蓝色字体,关注我们15首先申明,我在遇到疑难点时参考了部分wp(咱还是菜啊)。第一题没啥好说的,直接拖ida以十六进制输出就行了第二题名字叫数据结构,那肯定涉及到部分数据结构的知...
2019看雪CTF 神秘来信(初识逆向)
qq_39585393的博客
10-08 482
2019看雪CTF 神秘来信(初识逆向) 下载 .exe文件首先下载下来解压运行 随便输入了几个数,直接退出。 反汇编 直接逆向,将程序使用IDA打开 找到main函数按F5反汇编 看到伪码之后找到几个关键的信息 分析 可以看到strlen()函数,v4<7,并且根据if中参数的个数,推测数据的长度为6 编码为ASCII码 参照ASCII码的到v12 = 51-48 = 3,v13=53 -48= 5,v14 = 51-48 = 3;得到数据的后三位为353。 再根据v9 + v10 +
看雪2020CTF 守株待兔
JackBoy的博客
05-29 387
根据这句话,可以求分解曲线阶的最小公倍数即为整个曲线的阶 #n=37975227936943673922808872755445627854565536638199 * 40094690950920881030683735292761468389214899724061 #curve 1 M = 40094690950920881030683735292761468389214899724061 A = 0 B = 0x68ef17c5878742e629b88277f8b712506f89996..
CTF解题——看雪CTF-EasyRsa
qq_46089119的博客
12-20 262
CTF解题-Kctf-easyrsa。
CTF-2017世安杯ReverseMe
ct_shen_66的博客
04-19 643
一、题目 2017世安杯ReverseMe 二、解题思路 这里题目提示是使用Reverseme了,可以想象是不是进行了颠倒文件的想法 三、解题过程 首先使用winhex工具查看文件 这里发现了文件最后发现,文件给进行了倒置 利用python进行倒置回来 python代码: with open("reverseMe","rb") as fs: with open("flag","wb") as f: f.write(fs.read()[::-1]) 出来的flag是一张图片,但是
看雪ctf晋级赛第二题wp
rv0p111
10-08 536
安卓题目,应该就是有关动态库的题目了,所用对动态库进行分析,利用工具IDA、jeb、vs等 利用IDA动态调试,对sub_784进行分析,可以确定其实就是是rc4加密算法,以及下面的进行编码的业务逻辑组成 用到的其实就是RC4算法: 1、密钥流:RC4算法的关键是根据明文和密钥生成相应的密钥流,密钥流的长度和明文的长度是对应的,也就是说明文的长度是500字节,那么密钥流也是500字节。当然...
看雪CTF2017第六题 Ericky-apk writeup(安卓so逆向)
anhkgg的专栏
06-14 5172
概述题目入口:http://ctf.pediy.com/game-fight-36.htm本题是安卓cm,目测肯定需要调试so。准备工具: 1. ApkIde改之理(其他类似的也行,能够反编译apk,得到jar,so等) 2. IDA(用于调试so),需要6.x以上,忘了是x几,我用的6.6 3. adb(ApkIde改之理就有)反编译将6-Ericky kanxue.apk拖进ApkIDE改
ctf技能树文件上传.htaccess
04-30
文件上传漏洞通常是指在网站中存在对用户上传文件的功能,但是没有对上传文件的类型、大小、数量、路径等进行严格限制或过滤,从而导致攻击者可以通过上传包含恶意代码的文件来实现攻击的目的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值