开启移动安全之路——CTF篇

最新推荐文章于 2024-07-24 08:43:05 发布
最新推荐文章于 2024-07-24 08:43:05 发布
阅读量1.5k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37865996/article/details/100900866
版权

Topic:开启移动安全之路

在CTF逆向中,谈到移动安全,径直指向了安卓逆向。

一、安卓开发

清楚安卓开发的内容是为了清楚在把apk文件反编译后,能够了解资源、代码等的分布。

1.SDK开发

使用java进行开发。

首先需要介绍两个重要类型的文件:

AndroidManifest.xml文件也被称为安卓清单文件,其中包含了包名的信息、权限的声明、代码入口等信息。

安卓Java层控制代码,编译产生dex文件,逆向后产生为smali文件夹,存放的是逆向产生的java代码。

当对apk包进行解压时,会产生诸多的文件。

  • assets文件夹为数据文件,用于存放数据库等重要数据文件;
  • lib文件夹存放so文件;
  • META-INF存放签名文件;
  • res和resources.arsc存放资源文件;
  • AndroidManifest.xml文件即为清单文件;
  • classes.dex就是java编译产生的文件。
2.NDK开发

为了保护代码,增加逆向难度。

使用C编程,Java调用。

二、工具和考点

1.反汇编工具

AndroidKiller
APKIDE

2.逆向分析工具

IDA

3.16进制编辑器

4.安卓手机/模拟器

考点:

初级:

资源、备份文件
java语言代码逆向分析

中级:

C语言代码逆向分析
动态调试

高级:

脱壳
ollvm混淆

三、安卓逆向分析

1.静态分析java层代码
2.静态分析C层代码
3.动态分析

在这里插入图片描述

东方隐侠-千里
关注
专栏目录
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
CTF 夺旗-JAVA 考点反编译&XXE&反序列化#Java 常考点及出题思路考点技术:xxe,spel 表达式,反序列化,文件安全,最新框架插件漏洞等设法间
Android逆向之静态分析
dfdhxb995397的博客
08-31 558
想必打过CTF的小伙伴多多少少都触过Android逆向,所以斗哥将给大家整一期关于Android逆向的静态分析与动态分析。本期先带来Android逆向的静态分析,包括逆向工具使用、文件说明、例题解析等。Android逆向就是反编译的过程,因为看不懂Android正向编译后的结果所以CTF中静态分析的前提是将出现文件反编译到我们看得懂一层源码,进行静态分析。0X01 基础说明Android...
【网络安全渗透测试零基础入门必知必会】之CTF题目解析Java代码审计中的反序列化漏洞,以及其他漏洞的组合利用5
最新发布
Libra1313的博客
07-24 1134
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段反序列化渗透与防御第5。本文主要讲解java反序列化漏洞比赛题目解析本文基于一次内部小范围比赛题目的复现,简单聊聊Java代码审计中的反序列化漏洞。近年来,工作中Java Web的项目越来越常见,并且逐渐取代了前几年php的辉煌地位。在众多Java WebShiroFastjsonJBossWebLogicStructs2等等。本文基于一次内部小范围比赛题目的复现,简单聊聊Java代码审计中的反序列化漏洞,以及其他漏洞的组合利用。
合天网安实验室CTF-逆向100-看你的咯,移动安全大神
MyCyber
06-09 1288
合天网安实验室CTF-逆向100-看你的咯,移动安全大神 题目描述   dex2jar是我们的好朋友 相关附件   rev100.zip 参考解题步骤 1、下载附件解压后只有一个文件rev100 2、根据题目描述可以知道需要使用工具dex2jar。   由于本人使用的kali,很多工具系统都集成了,没有的小伙伴记得下载两个工具:dex2jar和jadx-gui。(android逆向还有个好用的工具apktool,不过这道题用不到。) 3、上一步将下载的rev100.zip解压得到的文件rev100可以
CTF-APK经典题目-移动安全
qq_29566629的博客
02-23 2185
题目: 给了一个压缩包,解压以后: 根据提示,使用dex2jar把dex文件转化为jar包文件: 使用jd-gui查看jar包里的代码: 先看第一个: 这里就要安装apk,然后在应用中输入后面的这串字符,会调用FlagActivity这个文件,但是没有虚拟机用来安装,所以接着往下看: 通过分析代码可以知道这是创建flag的代码,把底下这串ASCII码转化为字符即为flag,使用浏览器转换方法见此处 ...
各类移动安全竞赛题/部分writeup收集与整理
phoebe的专栏
06-03 1995
整理并收集各类移动安全竞赛的题目和部分竞赛中一些牛人写的解题思路,下载网址如下:http://pan.baidu.com/s/1ntrDgc5 ,总结了2015阿里组织的移动安全挑战赛第二题解题思路。
CTF-安卓手机文件分析取证(陌陌ID号)
asd158923328的博客
08-21 738
根据题意 进入环境,下载文件,依次进入immomo-users 验证ID661453150得到key
CTF-安卓手机文件分析取证(微信发送的语音)
asd158923328的博客
08-22 663
根据题意 进入环境,下载文件,根据提示,找到图片文件名 依次进入mnt-shell-emulated-0-Tencent-MicroMsg- aa657dcfe58fdb0e1e97415bfaccbeed- voice2-1a-e5,发现目标 验证文件名得到key ...
CTF BugKu平台——Crypto刷题记录(后续更新)_抄错的字符 ctf
2401_84281748的博客
04-28 983
前言 记录一下密码学的刷题记录 也是为了更好的巩固自己 基本有的解码 都附有超链接 希望大家能顺利通关 感谢观看!描述: 老师让小明抄写一段话,结果粗心的小明把部分数字抄成了字母,还因为强迫症把所有字母都换成大写。你能帮小明恢复并解开答案吗:QWIHBLGZZXJSXZNVBZW解码网站:http://www.hiencode.com/railfence.html 解码网站:https://www.splitbrain.org/services/ook解码网站:http://www.hiencode.com
提权学习之旅——基础
Lemon's blog
07-30 891
前言: 无论是CTF赛题还是渗透测试,有很多时候拿到WebShell的权限并不高,没有办法继续深入,所以需要进行提权操作,方便下一步的进行!看了很多师傅们的博客,大多都是总结下常用思路,对于我这种菜鸡来说还是有点难懂,所以就通过这次总结将理论和实践联系到一起! 基础知识 0x00:什么是提权 提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限。 简单的一句话就是权限提升。例如: Windows:User >> Syste
有趣的黑掉卫星Hack-A-Sat CTF比赛——模拟卫星视角beckley
hackasat的博客
11-11 1858
黑掉卫星挑战赛Hack-A-Sat中有一道有趣的题目,给了一张卫星拍摄的照片,需要找到卫星是从哪个角度拍摄的,找到后,就会给出正确的flag
移动终端思维导图
05-13
本文档为本人精心所致,心血所为,里面使用思维导图的方式阐述来目前移动终端的趋向所示,以及相关开发详细讲解,与本人讲课教程的详细文档,资料可堪称目前仅有其一,在这里分享了,希望有专注于移动终端这块的人作更好的学习与参考......
【愚公系列】2024年03月 《CTF实战:从入门到提升》 011-Web安全入门(PHP反序列化漏洞)
热门推荐
时光隧道
03-30 5万+
PHP是一种广泛使用的开源服务器端脚本语言,它支持面向对象的编程范式。在PHP中,类和对象是用于封装数据与功能的核心组件,它们使得代码更加模块化、易于管理和扩展。在处理对象持久化——即在不同会话或不同请求之间保存对象状态的过程中,序列化和反序列化是两个非常重要的概念。反序列化漏洞通常发生在不安全地反序列化用户提供的数据时。代码执行:攻击者可能会注入恶意对象,当这个对象被反序列化时,它可能会触发任意代码执行。对象注入:通过构造特殊的序列化数据,攻击者可能会在应用程序上下文中创建不正当的对象实例。
[网络安全自学] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
用手机打 CTF 是什么样的体验
有价值炮灰
11-22 2022
尝试不用电脑,只拿一台iPhone去参加看雪CTF2020 (娱乐向) 用手机打 CTF (iSH + radare2) 背景 最近 iSH 在 Apple Store 上架了,之前一直抢不到 testflight 的配额,难得强管控的苹果会让这种 Terminal 类的应用发布,所以第一时间下载来玩玩。测试之后发现可以当做是一个简单的 Linux 虚拟机,至少常用的命令都没什么问题,正
探索移动CTF:Awesome-Mobile-CTF 的深度解析与应用指南
gitblog_00090的博客
04-10 463
探索移动CTF:Awesome-Mobile-CTF 的深度解析与应用指南 awesome-mobile-CTFThis is a curated list of mobile based CTFs, write-ups and vulnerable apps. Most of them are android based due to the popularity of the platfo...
阿里ctf-2014 android 第三题——andriod模拟器安装
weixin_33825683的博客
01-19 767
EvilAPK-300该破解程序jscrack主界面包含两个控件:1)URL输入框2)进入”按钮“要求自己构造一个网页,并把网页对应的URL输入到URL输入框控件,然后,点击”进入”按钮,jscrack会打开webview浏览你的网页,如果jscrack能弹出一个Toast,就证明已经成功破解,同时Toast显示的内容就是这个题目的flag。说实话这道题目学到了许多知识,有些...
ctf比赛的三种形式
qq_33881738的博客
03-10 1万+
竞赛模式编辑 CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 二、攻防模式(Attack-Defense) 在...
android 传参启动apk_移动安全(三)|一道CTF题的apk逆向实战
weixin_39716417的博客
11-27 1215
0x00 @!@#~#$MaoXH(胡小毛)的Android逆向之路系列又来了,本次他分享了一道CTF题的逆向详细过程,希望有缘人能够有所收获~0x01 开整~实验环境:雷电模拟器+AndroidStudio+androidKiller+jad-gui目标apk:目的:获取inputflag第一步:安装apk&&反编译首先将111.apk安装在雷电模拟器上,并且将apk拖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东方隐侠-千里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值