bugku逆向&安卓

最新推荐文章于 2020-10-23 14:48:20 发布
最新推荐文章于 2020-10-23 14:48:20 发布
阅读量868 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35713009/article/details/88042758
版权

入门逆向

嗯。

Easy_vb

嗯。

Easy_re

嗯。

游戏过关

flag通过硬编码生成,爆破关键跳即可

Timer

安卓逆向,看样子和上题类似,直接爆破判断点即可,不过要算出一个关键值

根据程序逻辑可以直接算出最终的f320k的值,代码如下

public static void main(String[] args) {
    int beg = (((int) (System.currentTimeMillis() / 1000)) + 200000);
    long f321t = System.currentTimeMillis();
    int now = (int) (f321t / 1000);
    int size = beg - now;
    int f320k = 0;
    for (int i = size; i > 0; i--) {
    	if (is2(i)) {
      		f320k += 100;
       	}
      	else {
       		f320k--;
       	}
    }
    System.out.println(f320k);
}

public static boolean is2(int n) {
        if (n <= 3) {
            if (n > 1) {
                return true;
            }
            return false;
        } else if (n % 2 == 0 || n % 3 == 0) {
            return false;
        } else {
            int i = 5;
            while (i * i <= n) {
                if (n % i == 0 || n % (i + 2) == 0) {
                    return false;
                }
                i += 6;
            }
            return true;
        }
    }
}

然后修改下smali文件并保存

重新编译运行

逆向入门

运行不了,file一下发现是可打印字符,strings一下发现是个图片的base64

随手写个脚本解一下

import base64

f = open('admin.exe', 'r')
data = f.read()
f.close()

img = data[data.find(',')+1:]
img = base64.b64decode(img)

f = open('admin.png', 'wb')
f.write(img)
f.close()

 

嗯。

love

import base64

data = 'e3nifIH9b_C@n@dH'
data = [ord(c) for c in data]
for i in range(len(data)):
    data[i] -= i
data = base64.b64decode(''.join([chr(c) for c in data]))
print data

嗯。

LoopAndLoop

一眼就能看到关键的比较位置

而chec是native层函数

估计是递归调用check1,check2,check3,因为这3个函数又会调用chec,具体调用哪一个由arg4来决定。仔细看一下这三个函数的代码,发现这里用的是尾递归,而尾递归的运算模式本质上是迭代,且这里的运算是可逆的,可写解密程序

public static void main(String[] args) {
	int num = 1835996258;
	for (int i = 99; i > 1; i--) {
		int c = i * 2 % 3;
		switch(c) {
		case 0:
			for (int j = 0; j < 100; j++) {
				num -= j;
			}
			break;
		case 1:
			if ((i-1) % 2 == 0) {
				for (int j = 1; j < 1000; j++) {
					num -= j;
				}
			}
			else {
				for (int j = 1; j < 1000; j++) {
					num += j;
				}
			}
			break;
		case 2:
			for (int j = 1; j < 10000; j++) {
				num -= j;
			}
			break;
		}
	}
	System.out.println(num);
}

这是什么鬼格式。。。,输入求得的值

easy-100

本来这个题流程很简单,硬是被搞成了一个函数在多个类中胡乱调用,且各个类的一些函数名还是相同的,要慢慢得看完才行。总之这就是一个AES加密然后与密文比较的过程。解密脚本如下:

from Crypto.Cipher import AES

data = [0x15, 0xa3, 0xbc, 0xa2, 0x56, 0x75, 0xed, 0xbc, 
        0xa4, 0x21, 0x32, 0x76, 0x10, 0x0d, 0x01, 0xf1, 
        0xf3, 0x03, 0x04, 0x67, 0xee, 0x51, 0x1e, 0x44, 
        0x36, 0xa3, 0x2c, 0xe9, 0x5d, 0x62, 0x05, 0x3b]

with open('url.png', 'rb') as f:
    content = f.read()[144:144+16]

key = ''
for i in range(0, len(content), 2):
    key += content[i + 1]
    key += content[i]

data = ''.join([chr(c) for c in data])

def decrypt(data, key):
    aes = AES.new(key, AES.MODE_ECB)
    text = aes.decrypt(data)
    return text

print decrypt(data, key)

SafeBox

很容易的一题,但真正的验证过程不在MainActivity过程中,而在androidTest,验证流程很简单,可以直接爆破,不过脑袋抽了用了z3,贴代码

from z3 import *

x = Int('x')
s = Solver()
s.add(x > 10000000)
s.add(x < 99999999)
t = 1; t1 = 10000000
s.add((x % 1000) % 584 == 0)
s.add(((x / 1000) % 100) - 36 == 3)
for i in range(3):
    s.add((x / t) % 10 == (x / t1) % 10)
    t *= 10
    t1 /= 10

print s.check()
m = s.model()
x = int('%s' % m[x])
c1 = x / 1000000
c2 = ((x / 10000) % 100)
c3 = (((x / 100) % 100) + 10)
flag = 'NJCTF{have' + chr(c1) + chr(c2) + chr(c3) + 'f4n}'
print flag

Mountain climbing

本题的逆向分析其实很容易,主要考察关于算法的编程问题。主函数逻辑比较清晰,代码如下:

__int64 main_0()
{
  int v0; // ecx
  int random; // eax
  int v2; // ecx
  int v3; // ecx
  int v4; // edx
  int v5; // ecx
  int v6; // ecx
  __int64 v7; // ST04_8
  int index; // [esp+D0h] [ebp-90h]
  int j; // [esp+DCh] [ebp-84h]
  int i; // [esp+E8h] [ebp-78h]
  char input[104]; // [esp+F4h] [ebp-6Ch]

  srand(12u);
  j_memset(&unk_423D80, 0, 0x9C40u);
  for ( i = 1; i <= 20; ++i )
  {
    for ( j = 1; j <= i; ++j )
    {
      random = rand();
      v0 = j;
      table[100 * i + j] = random % 100000;
    }
  }
  printf(v0, "input your key with your operation can get the maximum:");
  scanf(v2, "%s", input);
  if ( j_strlen(input) == 19 )
  {
    sub_41114F();
    index = 0;
    j = 1;
    i = 1;
    v5 = 1;
    sum += table[101];
    while ( index < 19 )
    {
      if ( input[index] == 'L' )
      {
        v5 = 400 * ++i;
        sum += table[100 * i + j];
      }
      else
      {
        v6 = input[index];
        if ( v6 != 'R' )
        {
          printf(v6, "error\n");
          system("pause");
          goto LABEL_18;
        }
        v5 = table[100 * ++i + ++j] + sum;
        sum += table[100 * i + j];
      }
      ++index;
    }
    printf(v5, "your operation can get %d points\n", sum);
    system("pause");
  }
  else
  {
    printf(v3, "error\n");
    system("pause");
  }
LABEL_18:
  HIDWORD(v7) = v4;
  LODWORD(v7) = 0;
  return v7;
}

大概就是设置了个随机数种子,然后生成一个三角形,每次可以选择向右或向左走,要求在结尾处走过的路径的值的和最大,也就是个深度优先遍历的问题。且其中一个函数对一段代码段进行了解密

SMC解密结果如下

0x1000: mov     dword ptr [ebp - 0x44], 0
0x1007: jmp     0x1012
0x1009: mov     eax, dword ptr [ebp - 0x44]
0x100c: add     eax, 1
0x100f: mov     dword ptr [ebp - 0x44], eax
0x1012: cmp     dword ptr [ebp - 0x44], 0x13
0x1016: jge     0x1041
0x1018: mov     eax, dword ptr [ebp - 0x44]
0x101b: and     eax, 0x80000001
0x1020: jns     0x1027
0x1022: dec     eax
0x1023: or      eax, 0xfffffffe
0x1026: inc     eax
0x1027: test    eax, eax
0x1029: je      0x103f
0x102b: mov     eax, dword ptr [ebp + 8]
0x102e: add     eax, dword ptr [ebp - 0x44]
0x1031: movsx   ecx, byte ptr [eax]
0x1034: xor     ecx, 4
0x1037: mov     edx, dword ptr [ebp + 8]
0x103a: add     edx, dword ptr [ebp - 0x44]
0x103d: mov     byte ptr [edx], cl
0x103f: jmp     0x1009

即:
for (int i = 0; i < 0x13; i++)
{
    if ((i + 1) % 2 == 0)
        input[i] ^= 4
}

完整脚本

from ctypes import *

MAX = -1
save = [0] * 20; ans = [0] * 20
def dfs(h, l, sum):
    global MAX, save, ans
    sum += table[h * 100 + l]
    if h == 20:
        if sum >= MAX:
            MAX = sum
            ans = save[:]
        return;
    save[h] = 0
    dfs(h + 1, l, sum)
    save[h] = 1
    dfs(h + 1, l + 1, sum)

if __name__ == '__main__':
    msvcrt = cdll.msvcrt
    msvcrt.srand(12)
    table = [0]*100000
    for i in range(1, 21):
        for j in range(1, i + 1):
            table[100 * i + j] = msvcrt.rand()
    dfs(1, 1, 0)
    instr = ''
    for i in range(1, 20):
        if ans[i] == 0:
            instr += 'L'
        else:
            instr += 'R'
    instr = [ord(c) for c in instr]
    for i in range(len(instr)):
        if (i + 1) % 2 == 0:
            instr[i] ^= 4
    instr = ''.join([chr(c) for c in instr])
    print(instr)

Take the maze

打印迷宫的脚本如下

# -*- coding: UTF-8 -*-
def GetBox(offset):
    box = []
    with open('take_maze.exe', 'rb') as f:
        data = f.read()[offset:offset + 312 * 4]
        for i in range(0, len(data), 4):
            tmp = data[i:i + 4]
            tmp = tmp[::-1].encode('hex')
            tmp = int(tmp, 16)
            box.append(tmp)
    return box

if __name__ == '__main__':
    dev = 0x540548 - 0xe4148
    DownBox0 = GetBox(0xe4148)
    DownBox1 = GetBox(0x540068 - dev)
    LeftBox0 = GetBox(0x5404dc - dev) 
    LeftBox1 = GetBox(0x53fffc - dev)
    RightBox0 = GetBox(0x5404e4 - dev)
    RightBox1 = GetBox(0x540004 - dev)
    UpBox0 = GetBox(0x540478 - dev)
    UpBox1 = GetBox(0x53FF98 - dev)
    trait_maze = [0]*312
    for i in range(12):
        for j in range(26):
            n = i * 26 + j
            if DownBox0[n] == DownBox1[n]:
                trait_maze[n] |= 1
            if LeftBox0[n] == LeftBox1[n]:
                trait_maze[n] |= 2
            if RightBox0[n] == RightBox1[n]:
                trait_maze[n] |= 4
            if UpBox0[n] == UpBox1[n]:
                trait_maze[n] |= 8
    
    maze = ''
    for i in range(12):
        for j in range(26):
            n = i * 26 + j
            if trait_maze[n] & 1 == 1 and trait_maze[n] & 4 != 4:
                maze += '↓'
            elif trait_maze[n] & 4 == 4 and trait_maze[n] & 1 != 1:
                maze += '-'
            elif trait_maze[n] & (1 | 4) == 1 | 4:
                maze += '+'
            else:
                maze += '0'
        maze += '\n'
    print maze

maze:
↓↓-↓---↓00↓↓↓↓↓↓↓↓↓↓↓0000-
-↓↓↓00-↓0-↓---------↓00000
↓↓-000-↓↓↓↓↓00000↓↓-↓0000-
-↓↓000-----↓0000--↓-000000
--↓↓↓↓↓↓↓0-↓↓↓↓↓↓↓↓↓↓00000
0---↓---↓0----------↓00000
000-↓00-↓0000000000-↓00000
000-↓00-↓↓↓↓↓000000↓↓00000
000-↓00-----↓00000--000000
000-↓000000-↓↓↓↓↓↓↓↓↓↓0000
000-0000000----------↓↓↓↓↓
00000000000000000000-----0

根据迷宫很容易构造输入06360836063b0839073e0639。


「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku-逆向-Timer(阿里CTF)(我的第一个Android逆向)
Sea_Sand息禅
06-16 1003
使用jeb进行反编译成java代码,MainActivity为程序的入口,首先对这个部分进行查看,找到了输出flag的地方。 对程序进行分析 this.beg = (((int)(System.currentTimeMillis() / 1000))) + 200000;beg为一个定值,在上面代码的run()函数中,k是可以变化的 MainActivity.this.t = System.cu...
Bugku——Timer(阿里CTF)
王嘟嘟的博客
04-09 2707
0x00 前言 导航:https://blog.csdn.net/qq_36869808/article/details/83377360 本来说是一道Android 题,想去分析一下so的,但是最后发现,还是太天真的。 0x01 正文 使用jeb打开App。可以看到这里是主要的地方。 这里调用了is2这个方法,并且对k值进行了操作,所以,这里的k值应该就是关键的地方了,只要知道k值,什么都好说...
bugku-逆向-5、Timer
Onlyone_1314的博客
09-22 6308
下载下来,是一个apk文件,就是安卓手机软件的安装包,先把它安装看一下: 只有一个界面,上面有个200000在倒计时,应该是等时间到了,就会显示flag。 接下来我们反编译,可以自己逐步解压缩,用apktools、dex2jar转化为jar包,也可以直接用集成工具打开 刚开始用JAD打开jar包,查看到的.class文件的代码是这样子的: public class MainActivity extends AppCompatActivity { int beg = (int)(System.cu
bugku安卓部分题解
qq_42892021的博客
12-14 3733
bugku安卓部分题解 一、signin 1、首先将APK放进模拟器中运行,查看其报错关键字“Try again”,为后面做关键词定位做准备 2、利用APKIDE加载APK并进行反汇编 3、搜索“Try again”定位到Mainactivity.class利用jd查看其java源码(如果smali基础较好可以直接看smali代码) &nbsp;&nbsp; 源码: public c...
BugKuCtf-逆向-Mountain climbing
WocW的博客
12-14 1416
PEID查询有壳 使用UPX脱壳机DLL 脱壳 使用IDA打开 shit+F12 查看字符串 看到error字样,交叉引用到相关函数。 反编译 查看到该函数的如下代码 int sub_411B70() { int v0; // edx@1 int v1; // ecx@1 int v2; // edx@5 int v3; // ecx@5 signed i...
安卓逆向smali语法
最新发布
05-20
内容概述:本指南旨在介绍安卓应用逆向工程中使用的SMALI语法,涵盖了SMALI语言的基本语法结构、指令集以及常见的逆向分析技巧。通过学习本指南,读者将能够理解和分析安卓应用程序的SMALI代码,从而进行逆向工程和...
安卓应用逆向安全androidKiller
01-08
"安卓应用逆向安全androidKiller"是一个专为此目的设计的工具包,它为开发者、安全研究人员和逆向工程师提供了强大的功能,帮助他们深入洞察Android应用的内部结构。 逆向工程的基本流程通常包括静态分析和动态分析...
Android逆向CTF基础题汇总
06-11
附件是八道Android基础逆向题,基本都是CTF题。平时网上基础的CTF题目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF题再贴出来分享给大家练手。
安卓逆向助手 安卓逆向助手2.2
08-07
安卓逆向助手2.2】是一款专为Android应用程序开发者和安全研究人员设计的工具,它提供了强大的逆向工程功能,帮助用户深入理解APK文件的工作原理,查找潜在的安全漏洞,或者进行代码调试与优化。这款工具在安卓...
Android全新最全安卓逆向教程
08-19
Android最全安卓逆向教程 这是某地方付费课程不加密版本 1.Java逆向基础 2.Arm Native逆向 3.系统编译 4.应用脱壳 5.初步编程保护 6.HOOK插件开发 该课程学习起来通俗易懂,不扯其他无关内容,直奔主题,只讲重点,...
bugku的ctf逆向入门练习(逆向入门)
song_10的博客
11-07 7254
bugku逆向第五题:逆向入门 下载文件后发现是一个exe的可执行文件,双击出现如下界面: 还是先查壳: 发现不是有效的pe文件,用notpad打开试试: 发现是“image/png;base64”,猜测是经过base64加密的图片,将整段内容复制下来,base64转图片: 或者使用HTML的img标签的src属性(格式为:<img src "url"/>)...
BugkuCTF逆向EASY_RE题解
Air_cat的博客
06-17 2048
题目链接:https://ctf.bugku.com/challenges#Easy_Re 港道理,这道题对逆向新人来说有一个比较奇特的点,虽然很简单,但想必开始的时候会难到不少新朋友,我们就来看看这题是怎么回事 这种题盲猜是用od跑,那么用od(记住是中文搜索)打开试试: 很显然我们要对付的就是头顶那些代码了! 那么和我们之前做的水题不同,首先这里我们看不到flag存储的地方,然后跳进去看看:...
leetcode题解
菜鸡旭旭
09-22 382
1.两数之和 给定一个整数数组 nums 和一个目标值 target,请你在该数组中找出和为目标值的那 两个 整数,并返回他们的数组下标。 给定 nums = [2, 7, 11, 15], target = 9 因为 nums[0] + nums[1] = 2 + 7 = 9 所以返回 [0, 1] 前提条件 1.只有一种结果 2.数据不可复用 题解方案 1.暴力枚举 for循环 寻找当前数据的...
[CTF]Bugku Take the maze
qq_42152365的博客
04-24 804
[CTF]Bugku Take the maze 200 {写博客不重要,记录思路最重要} 1. 拿到拖Die发现无壳,从文件名和解析结果来看就是用visual C写的 2. 运行,发现关键语句:“show me your key”,拖入IDA,搜索该字句,进入到函数 3. 发现该函数中有“done!....”表明输入正确,但是正确之后还有一些函数,进去后发现还有一些奇奇怪怪的东西如下: ...
Bugku Timer(阿里CTF)
qq_18823653的博客
02-28 1291
这是一道安卓题,大致意思是过二十万秒后给出flag,关键代码如上,可以写个脚本模拟过完二十万秒,输出k, package com.test; public class text { public static void main(String[] args) { int k = 0; for(int time =200000;time&gt;0;time-...
bugku】 cookies欺骗 writeup
perye
02-27 2968
看到url上的参数有base64,解码发现是keys.txt 把改参数换成index.php,观察发现line按行返回 所以自己练练手写了个脚本跑出来#!/usr/bin/env python # -*- coding: utf-8 -*- import requests s=requests.Session() url='http://120.24.86.145:8002/web11/in...
网络安全CTF比赛赛题-NewBugku--Web1
weixin_45880658的博客
11-14 1800
bugku-逆向-Easy_Re
a3uRa的一个窝
05-31 2580
ida x86 加载程序 shift+fn+f12查看字符串,看到“输入flag吧”字样,猜想附件是关键判断代码 找到关键函数sub_401000,查看 f5 反编译成伪c代码 strcmp函数 比较v4和v8 输入的是v8 和v4比较 找到和V4相关的 _mm_storeu_si128((__m128i *)&amp;v4, _mm_loadu_si128((const...
bugku入门逆向解法
qq_35576225的博客
10-23 128
下载文件后用Exeinfope0.0.5.3查看,发现没有壳。 用IDA打开,找到main函数的位置,发现printf后有一堆mov指令,用R指令转为字符串,得到flag。
Android逆向之动态调试技术
01-19
Android逆向之动态调试技术是一篇详细指南,专为Android逆向开发者设计,深入探讨了在开发过程中如何动态调试APK的smali代码。文章首先从确保设备已root开始,因为root权限是进行底层操作的关键,包括安装调试工具、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值