CTF apk 安卓逆向

最新推荐文章于 2024-05-06 20:13:22 发布
最新推荐文章于 2024-05-06 20:13:22 发布
阅读量5.4k 收藏 13
点赞数 2
分类专栏: 安全 文章标签: CTF apk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/109395396
版权

apk界面如下,看一看其实没有什么用。。。
在这里插入图片描述

1、使用jeb对apk进行分析,找到manifest配置文件(即应用清单,中包含了APP的配置信息,系统需要根据里面的内容运行APP的代码,显示界面),从中找到初始启动类com.crackme.comingsoon.WebviewActivity
在这里插入图片描述
2、WebviewActivity中注册了backdoor和helloworld两个函数,并加载了newVersionLogin.html进行渲染。
在这里插入图片描述
3、newVersionLogin.html中可以访问两个函数,js的login函数,和后台的backdoor函数
在这里插入图片描述
login.js如下,即访问后台的helloworld函数
在这里插入图片描述
4、来看看LoginActivity的逻辑,根据备注对变量进行重命名,方便查看。
在这里插入图片描述
进入相关函数,发现会对账号密码进行检查,其中密码长度为32
在这里插入图片描述
5、返回LoginActivity,LoginActivity.e会进行登录检查,继续跟进
在这里插入图片描述
进入LoginActivity.e函数,有用的是e.p.b函数,继续跟进
在这里插入图片描述

下面是e.p.b函数,参数arg4为password,首先会进入v3.a进行判断,跟进v3.a函数

public void b(String arg3, String arg4) {
        c v4;
        a v3 = this.e.a;
        if(v3 != null) {
            try {
                v4 = v3.a(arg4) ? new c(new b.b.a.a.d.a(UUID.randomUUID().toString(), "for(int i=0;i<38;i++)\n{\n\ttable[i] = (int)flag.charAt(i)-(int)decode.charAt((base+i)%decode.length());\n}\n//int table[] = {-6, 10, 25, -5, 4, 25, 36, 5, -2, 10, 47, 2, -17, 17, 39, 48, 14, 0, 43, 55, 50, 22, 62, -20, -22, 19, -9, -3, 10, 13, 58, 29, 1, 2, 38, -10, 1, 35};")) : new b.b.a.a.c.b(new IOException("Permission deny"));
            }
            catch(Exception v3_1) {
                v4 = new b.b.a.a.c.b(new IOException("Error logging in", v3_1));
            }

            if((v4 instanceof c)) {
                this.d.h(new b.b.a.b.c(new b.b.a.b.a(((b.b.a.a.d.a)v4.a).a)));
                return;
            }

            this.d.h(new b.b.a.b.c(((int)0x7F0C0020)));  // string:login_failed "Login failed"
            return;
        }

        throw null;
    }
// v3.a函数
public boolean a(String arg15) {
        if(arg15.substring(arg15.length() - 2, arg15.length()).equals("==")) {
            byte[] v15 = Base64.decode(arg15.getBytes(), 0);
            return (v15[0] ^ v15.length << 12) != 90227 || v15[v15.length - 1] + v15[1] != 0xE4 || v15[1] + v15[2] + v15[v15.length - 3] + v15[v15.length - 16] + v15[15] + v15[13] + v15[v15.length - 14] + v15[10] + v15[v15.length - 11] + v15[v15.length - 6] != 0x45C || v15[1] - v15[2] + v15[v15.length - 3] != 104 || v15[v15.length - 6] * 2 + (v15[v15.length - 16] * 4 + v15[15] - v15[v15.length - 3]) != 650 || v15[v15.length - 11] * 13 + (v15[13] - v15[v15.length - 14] - v15[10] * 19) - v15[1] * 3 != 0xFFFFFB83 || v15[v15.length - 14] * 12 + (v15[2] * 10 + v15[15] * 9 - v15[10] * 11) - v15[v15.length - 6] * 13 != 661 || v15[v15.length - 14] - v15[13] + v15[v15.length - 16] - v15[v15.length - 3] + v15[2] - v15[1] != -15 || v15[v15.length - 11] * 3 + (v15[v15.length - 14] * 3 + (v15[15] * 3 + v15[v15.length - 3] * 3)) != 0x525 || v15[10] * 7 + v15[v15.length - 14] * 5 - v15[v15.length - 11] * 9 != 344 || v15[v15.length - 11] * 5 + (v15[v15.length - 14] * 4 + (v15[15] * 3 + (v15[v15.length - 3] * 2 + v15[1]))) != 1640 || v15[v15.length - 16] * 7 + (v15[10] * 4 + -v15[v15.length - 6] - v15[13] * 9) != 54 || v15[v15.length - 8] * v15[v15.length - 8] - v15[7] * 108 != 973 || v15[v15.length - 2] - v15[v15.length - 8] != -11 || v15[7] + v15[v15.length - 2] != 0xC7 || v15[3] * v15[4] * v15[5] != 0x15BF34 || v15[3] * v15[4] - v15[5] != 0x37D9 || v15[4] * v15[4] - v15[3] * v15[5] != 3202 || v15[6] * v15[6] * v15[v15.length - 5] + v15[14] * v15[v15.length - 13] != 0x1338C1 || v15[8] * v15[v15.length - 10] + v15[v15.length - 5] + v15[v15.length - 4] != 10309 || v15[6] * v15[v15.length - 5] != 0x2D8F || v15[6] * v15[v15.length - 13] != 0x2D24 || v15[14] * v15[v15.length - 10] - v15[6] * v15[v15.length - 4] != 200 ? 0 : 1;
        }

        return 0;
    }

6、接下来重点分析上面的v3.a函数,从函数中我们可以知道:

条件一:输入以“==”结尾的base64字符串,并且password的长度为32,根据base64的规则,解码后的v15长度为22位:

32*6/8=24
24-2=22 //有几个=号,减去多少

条件二:(v15[0] ^ v15.length << 12) == 90227

v15[0] = 90227 ^ 22<<12 = 115

条件三:多元一次方程:

v15[22-1] + v15[1] == 0xE4
v15[1] + v15[2] + v15[22- 3] + v15[22- 16] + v15[15] + v15[13] + v15[22- 14] + v15[10] + v15[22-11] + v15[22-6] = 0x45C
v15[1] - v15[2] + v15[22- 3] = 104
v15[22- 6] * 2 + (v15[22- 16] * 4 + v15[15] - v15[22- 3]) = 650
v15[22- 11] * 13 + (v15[13] - v15[22- 14] - v15[10] * 19) - v15[1] * 3 = 0xFFFFFB83
v15[22- 14] * 12 + (v15[2] * 10 + v15[15] * 9 - v15[10] * 11) - v15[22- 6] * 13 = 661
v15[22- 14] - v15[13] + v15[22- 16] - v15[22- 3] + v15[2] - v15[1] = -15
v15[22- 11] * 3 + (v15[22- 14] * 3 + (v15[15] * 3 + v15[22- 3] * 3)) = 0x525
v15[10] * 7 + v15[22- 14] * 5 - v15[22- 11] * 9 = 344
v15[22- 11] * 5 + (v15[22- 14] * 4 + (v15[15] * 3 + (v15[22- 3] * 2 + v15[1]))) = 1640
v15[22- 16] * 7 + (v15[10] * 4 + -v15[22- 6] - v15[13] * 9) = 54
v15[22- 8] * v15[22- 8] - v15[7] * 108 = 973
v15[22- 2] - v15[22- 8] = -11
v15[7] + v15[22- 2] = 0xC7
v15[3] * v15[4] * v15[5] = 0x15BF34
v15[3] * v15[4] - v15[5] = 0x37D9
v15[4] * v15[4] - v15[3] * v15[5] = 3202
v15[6] * v15[6] * v15[22- 5] + v15[14] * v15[22- 13] = 0x1338C1
v15[8] * v15[22- 10] + v15[22- 5] + v15[22- 4] = 10309
v15[6] * v15[22- 5] = 0x2D8F
v15[6] * v15[22- 13] = 0x2D24
v15[14] * v15[22- 10] - v15[6] * v15[22- 4] = 200

那就求解呗,这里使用python3,需要安装z3-solver库:

# python3 -m pip install z3-solver
# 5wimming

import z3
import base64


def main():
    v15 = [z3.Int('x%d' % i) for i in range(22)]
    z3solver = z3.Solver()

    z3solver.add(v15[22 - 1] + v15[1] == 228)
    z3solver.add(v15[1] + v15[2] + v15[22 - 3] + v15[22 - 16] + v15[15] + v15[13] + v15[22 - 14] + v15[10] + v15[22 - 11] + v15[22 - 6] == 1116)
    z3solver.add(v15[1] - v15[2] + v15[22 - 3] == 104)
    z3solver.add(v15[22 - 6] * 2 + (v15[22 - 16] * 4 + v15[15] - v15[22 - 3]) == 650)
    z3solver.add(v15[22 - 11] * 13 + (v15[13] - v15[22 - 14] - v15[10] * 19) - v15[1] * 3 == -1149)
    z3solver.add(v15[22 - 14] * 12 + (v15[2] * 10 + v15[15] * 9 - v15[10] * 11) - v15[22 - 6] * 13 == 661)
    z3solver.add(v15[22 - 14] - v15[13] + v15[22 - 16] - v15[22 - 3] + v15[2] - v15[1] == -15)
    z3solver.add(v15[22 - 11] * 3 + (v15[22 - 14] * 3 + (v15[15] * 3 + v15[22 - 3] * 3)) == 1317)
    z3solver.add(v15[10] * 7 + v15[22 - 14] * 5 - v15[22 - 11] * 9 == 344)
    z3solver.add(v15[22 - 11] * 5 + (v15[22 - 14] * 4 + (v15[15] * 3 + (v15[22 - 3] * 2 + v15[1]))) == 1640)
    z3solver.add(v15[22 - 16] * 7 + (v15[10] * 4 + -v15[22 - 6] - v15[13] * 9) == 54)
    z3solver.add(v15[22 - 8] * v15[22 - 8] - v15[7] * 108 == 973)
    z3solver.add(v15[22 - 2] - v15[22 - 8] == -11)
    z3solver.add(v15[7] + v15[22 - 2] == 199)
    z3solver.add(v15[3] * v15[4] * v15[5] == 1425204)
    z3solver.add(v15[3] * v15[4] - v15[5] == 14297)
    z3solver.add(v15[4] * v15[4] - v15[3] * v15[5] == 3202)
    z3solver.add(v15[6] * v15[6] * v15[22 - 5] + v15[14] * v15[22 - 13] == 1259713)
    z3solver.add(v15[8] * v15[22 - 10] + v15[22 - 5] + v15[22 - 4] == 10309)
    z3solver.add(v15[6] * v15[22 - 5] == 11663)
    z3solver.add(v15[6] * v15[22 - 13] == 11556)
    z3solver.add(v15[14] * v15[22 - 10] - v15[6] * v15[22 - 4] == 200)

    z3solver.check()
    model = z3solver.model()

    result = [115]
    for i in v15[1:]:
        result.append(model.eval(i).as_long())
    print(result)

    str_result = ""
    for i in result:
        str_result += chr(i)
    print('origin result', str_result)
    
    base64_result = base64.b64encode(str_result.encode())
    print('base64 result', base64_result)


if __name__ == '__main__':
    main()

求出结果:

[115, 108, 114, 118, 122, 99, 107, 101, 101, 108, 121, 112, 100, 119, 109, 116, 108, 109, 100, 110, 98, 120]
origin result: slrvzckeelypdwmtlmdnbx
base64 result: b'c2xydnpja2VlbHlwZHdtdGxtZG5ieA=='

7、继续看接下来的函数,字符串里面就是将flag和table进行运算,得到password,所以根据该函数可以倒推flag

v4 = v3.a(password) ? new c(new b.b.a.a.d.a(UUID.randomUUID().toString(), "for(int i=0;i<38;i++)\n{\n\ttable[i] = (int)flag.charAt(i)-(int)decode.charAt((base+i)%decode.length());\n}\n//int table[] = {-6, 10, 25, -5, 4, 25, 36, 5, -2, 10, 47, 2, -17, 17, 39, 48, 14, 0, 43, 55, 50, 22, 62, -20, -22, 19, -9, -3, 10, 13, 58, 29, 1, 2, 38, -10, 1, 35};")) : new b.b.a.a.c.b(new IOException("Permission deny"));

写出倒推函数:

# python3
# 5wimming
def get_flag():
    password = 'c2xydnpja2VlbHlwZHdtdGxtZG5ieA=='
    table = [-6, 10, 25, -5, 4, 25, 36, 5, -2, 10, 47, 2, -17, 17, 39, 48, 14, 0, 43, 55, 50, 22, 62, -20, -22, 19, -9, -3, 10, 13, 58, 29, 1, 2, 38, -10, 1, 35]
    for base in range(32):
        flag = ''
        for i in range(38):
            flag += chr(table[i] + ord(password[(base + i) % len(password)]))
        if 'flag' in flag:
            print(flag)
            break


if __name__ == '__main__':
    get_flag()

得到结果flag:

flag{slirnvzckneweltoypdcwemtnlsmdnbx}
5wimming
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apk逆向思路_移动安全(三)|一道CTF题的apk逆向实战
weixin_30269201的博客
12-24 1036
0x00 @!@#~#$MaoXH(胡小毛)的Android逆向之路系列又来了,本次他分享了一道CTF题的逆向详细过程,希望有缘人能够有所收获~0x01开整~实验环境:雷电模拟器+AndroidStudio+androidKiller+jad-gui目标apk:目的:获取inputflag第一步:安装apk&&反编译首先将111.apk安装在雷电模拟器上,并且将apk拖入andro...
Android逆向CTF实战分析
contrary_的博客
01-16 2525
既然这篇文章提到了CTF 我就先来科普一下 What is CTF??? 赛事介绍: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。 赛事起...
CTF安卓逆向练习第五弹
熊铁柱的博客
06-17 2670
CTF安卓逆向练习第五弹 写在前面的话:这次练习的是看雪2017CTF的第六题,涉及的知识点比较多,包括花指令,加密,编码等,自己并没有做出来,看了许多大佬的wp,自己跟着跑了一遍,期间遇到了许多问题,现在整理一下,看样子要学习的东西还是挺多的:-) 基本概述还是最基本的,先看一下题,如图,就是一个简单的app,然后获取注册码。 java层分析还是先看java层,打开jeb,拖进去,然后发现加
2024年网络安全最全CTF BugKu平台—(MISC篇①)_西安地铁站 七站 ctf,2024年最新网络安全Apk安装过程
最新发布
2401_82645688的博客
05-06 707
可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。提示很明显了 得到了这一串字符 应该是解密 猜测可能是md5 编码和base(贝斯)58编码 前面一串肯定是md5 后面得是base58。是图片就是传统思路 看属性 然后文本文档打开找flag 发现都没有很正常 那就是隐写方向得了。是一张图片 看到图片的思路就是看属性然后使用文本编辑器搜flag关键字;是一个数据包类型的题目 打开来全是icmp的包 看不了追踪流;研究了半天这图片不知道啥意思 百度了一下看是元神的。
Android逆向CTF实用入门——apk
weixin_63576152的博客
08-04 3854
本文浅浅地针对CTF中遇到的安卓apk题目,罗列出一些基本知识点。
CTF Android逆向 -- KGB Messenger APK文件结构介绍,破解账户与密码,静态分析,修改并构建APK,逆向算法,APK文件签名
Ba1_Ma0的博客
12-15 1655
1.应用程序包的名称2.应用程序的所有组件3.此应用程序运行需要什么权限,以及其他应用程序访问此应用程序的信息所需的权限4.兼容性功能包含资源但具有开发人员无法更改的预定义文件夹层次结构的文件夹。这些文件用于为不同的屏幕大小、操作系统版本和多语言支持提供替代方案。这是一个包含验证信息的文件夹。这是在“签署”应用程序时生成的。这个文件夹APK中包含的每个文件的指纹信息。这意味着对 APK 的任何修改(甚至替换图标)都需要重新签署 APK,否则操作系统将拒绝安装。
CTF-安卓逆向入门题目
热门推荐
CharlesGodX的博客
01-22 1万+
介绍 以下题目都是比较简单的安卓逆向题目,主要训练目的是熟悉安卓逆向的一些基础题目,如果是第一次接触安卓逆向,建议先去学一点安卓开发的相关知识,这样做题目就更快一些,当然题目做多了自然也就熟悉了,题目我都上传到Github上了,需要的可以下载。 题目1-androideasy 链接: https://github.com/ThunderJie/CTF-Practice/tree/master/CT...
【0-4】安卓逆向-ctf入门
weixin_45880501的博客
12-12 835
因为主要的判断逻辑是在OnClickListener这个类里,而这个类是MainActivity的一个内部类,同时我们在实现的时候也没有给这个类声明具体的名字,所以这个类用$1表示。重新编译打包签名运行后flag已经显示出来了。
CTF安卓逆向练习第一弹
熊铁柱的博客
06-02 1万+
CTF安卓逆向练习第一弹–用户名与密码获取 写在前面的话:终于开始写博客了,记录自己逆向学习的一些过程,因为太小白了,所以权当抛砖引玉,供初学者参考。可能会有些错误,欢迎指出。 本篇从ctf逆向的一道题入手,主要练习so调试相关技术,以及断点下法思路,动态调试等。题目来源是ctf2016年逆向的第一题(第一题简单嘛),apk包:re1-e7e4ad1a.apk,网上好多资源就自己去找吧
CTF安卓逆向uncrackme level1
nini_boom的博客
03-03 1823
安卓逆向方面好像没有类似vulnhub的网站,有大量的靶机练习渗透测试。我目前找了 OWASP MSTG CTF项目,如果有知道的大神,可在评论或私信分享一波,谢谢了。 CTF项目的github在点击这里。不过由于项目较大,github经常会出现下载失败的情况,像我就下载了一个上午,50m的带宽下载速度只有20kb/s,速度极其感人。不过我已经上传到CSDN了,有需要的小伙伴可以直接下载。 运...
Android逆向CTF基础题汇总
06-11
附件是八道Android基础逆向题,基本都是CTF题。平时网上基础的CTF题目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF题再贴出来分享给大家练手。
ctf逆向安卓篇.pdf
10-18
本文档主要介绍了 CTF 逆向安卓篇的知识点,涵盖了 Android 应用逆向工程、APKToolBOX 和 jadx 的使用、Android 应用安全测试等方面的知识。 一、Android 应用逆向工程 Android 应用逆向工程是指对 Android 应用...
ctf逆向安卓篇.doc
10-08
CTF(Capture The Flag)竞赛中,逆向工程是一项重要的技能,尤其是在安卓平台。本篇主要讨论的是如何对安卓应用进行逆向分析,以获取隐藏的信息或解密特定逻辑。我们将通过一个简单的例子来讲解这个过程。 首先...
2016华山杯ctf安卓题目
06-17
CTF比赛通常包括逆向工程、密码学、Web安全、移动安全等多个方向,而安卓题目则聚焦于移动平台的安全问题,特别是针对Android系统的安全攻防。 【描述】2016年的华山杯CTF安卓题目反映了当时网络安全环境下的热点和...
CSDN_CrackMe_1.0_2021.apk
04-16
CrackMe博客的附件https://blog.csdn.net/m0_38076341/article/details/115767335
spf、dkim、dmarc介绍与邮件伪造研究
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-18 1万+
文章目录spf、dkim、dmarc介绍SPFDKIMDMARC测试工具Swaks spf、dkim、dmarc介绍 SPF SPF(Sender Policy Framework)发件人策略框架 SPF 是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以 IP 地址认证电子邮件发件人身份的技术。域名所有者通过在 DNS 中发布 SPF 记录来授权合法使用该域名发送邮件的 IP 地址。 当在 DNS 中定义了域名的 SPF 记录后,为了确认邮件声称发件人不是伪造的,邮件接收方首先检查邮件域
手机app逆向、渗透测试基础工具介绍
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-15 7605
手机app逆向基础工具介绍1、夜神模拟器2、Androidkiller3、burpsuite 本文介绍了三款手机软件逆向工具: 模拟器:夜神模拟器 apk编辑器:Androidkiller 代理抓包器:burpsuite 1、夜神模拟器 夜神模拟器是一款可以在mac或者windows上运行的模拟器,用于运行手机软件。 下载地址:https://www.yeshen.com/ 下载后安装即可。...
使用burpsuite对安卓软件进行抓包
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
04-01 6705
目录一、burpsuite设置二、模拟器设置三、安装证书四、愉快的抓包 相关资源下载参考:https://blog.csdn.net/qq_34101364/article/details/104883675 一、burpsuite设置 安装教程:https://blog.csdn.net/LUOBIKUN/article/details/87457545 打开burpsuite,按如下步骤操作,...
LAMPSECURITY CTF6.pdf
12-26
## LAMPSECURITY: CTF6 - ### About Release [Back to the Top](https://www.vulnhub.com/entry/lampsecurity-ctf6,85/#top) - **Name**: LAMPSecurity: CTF6 - **Date release**: 29 Jun 2009 - **Author**: [madirish2600](https://www.vulnhub.com/author/madirish2600,75/) - **Series**: [LAMPSecurity](https://www.vulnhub.com/series/lampsecurity,43/) - **Web page**: [http://sourceforge.net/projects/lampsecurity/files/CaptureTheFlag/CTF6/](https://sourceforge.net/projects/lampsecurity/files/CaptureTheFlag/CTF6/) ### Download [Back to the Top](https://www.vulnhub.com/entry/lampsecurity-ctf6,85/#top) Please remember that VulnHub is a free community resource so we are unable to check the machines that are provided to us. Before you download, please read our FAQs sections dealing with the dangers of running unknown VMs and our suggestions for “protecting yourself and your network. If you understand the risks, please download!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值