2021 巅峰极客 RE medical_app(结合IDA动调so文件)

最新推荐文章于 2021-09-07 17:42:12 发布
最新推荐文章于 2021-09-07 17:42:12 发布
阅读量669 收藏 1
点赞数 1
分类专栏: RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39214793/article/details/119335195
版权

medical_app

因为比赛的时候队友已经做了这一题,所以赛后才看这道。(呜呜呜。。比赛一道逆向没做起,我太菜了
从这道题我主要是学习了一下如何用模拟器结合IDA动调apk中的so文件。

先说一下如何配置

我用的是夜神模拟器7.0.1.3版本

  • 注意:
    模拟器要打开USB调试
    具体方法如下:打开设置->点击版本号5次进入开发者模式->从开发者选项中找到USB调试勾选上即可

我们首先在模拟器的安装目录下打开cmd,输入下面几行命令

adb connect 127.0.0.1:62001//62001是夜神模拟器的端口,不同模拟器的端口不同,大家可以自行百度)
adb push d:\IDA\dbgsrv\android_x86_server(IDA安装路径)  /data/local/tmp/android_x86_server 
adb shell
su
cd /data/local/tmp
chmod 777 android_x86_server
./android_x86_server
再开一个cmd
adb forward tcp:23946 tcp:23946

正确操作应如下图所示
在这里插入图片描述

这里简单说一下,IDA的dbgsrv目录下有很多版本,其中android_x64_server和android_x86_server是针对于模拟器的,android_server和android_server64是针对于真机的,混着用可能会报错。

然后打开IDA Debugger->Select debugger->Remote linux debugger

这里Hostname:127.0.0.1 Port:23946

设置成功后再模拟器中运行要进行调试的程序,然后进入IDA选择要调试的进程
在这里插入图片描述
在这里插入图片描述
然后下断点,就可以正常调试了。

下面我们来说一下这道题

这道题是rc4+修改delta的xxtea加密,但是要通过动态调试so文件来获取这两种加密的秘钥key。
比较坑的是在动调的时候,该题目程序在模拟器分辨率设置为宽:1600 长:900 DPI:240才能运行
(静态也可以找到秘钥,主要是通过这道题练一下so文件动调)
在这里插入图片描述

在这里插入图片描述
选中部分即为秘钥,在xxtea中变为unsigned int类型(注意大小端格式储存)

rc4:0x01, 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x10, 0x00, 0x00
xxtea:0x00000001,0x00000010,0x00000100,0x00001000

其他就是根据IDA修改一下rc4和xxtea的解密模板即可

xxtea部分:
#include<stdio.h>
#include<stdint.h>
#define DELTA 0x9F5776B6
#define MX (((z>>5^y<<2) + (y>>3^z<<4)) ^ ((sum^y) + (key[(p&3)^e] ^ z)))

using namespace std;

unsigned int v38[9] ={1759876926, 3255595879, 2561659931, 4266368482, 27637259, 1027003974, 3687611311, 2688634624, 1982654234};
unsigned int key[4]={0x00000001,0x00000010,0x00000100,0x00001000};
 
void xxtea(uint32_t *v, int n, uint32_t const key[4])
{
    uint32_t y, z, sum;
    unsigned p, rounds, e;
	if (n < -1)      /* Decoding Part */
    {
        n = -n;
        rounds = 6 + 52/n;
        sum = rounds*DELTA;
        y = v[0];
        do
        {
            e = (sum >> 2) & 3;
            for (p=n-1; p>0; p--)
            {
                z = v[p-1];
                y = v[p] -= MX;
            }
            z = v[n-1];
            y = v[0] -= MX;
            sum -= DELTA;
        }
        while (--rounds);
    }
}

int main()
{
	xxtea(v38, -9, key);
	for(int i=0;i<9;i++)
	{
		//printf("0x%x",v38[i]);
		printf("0x%x,0x%x,0x%x,0x%x,",*((char *)&v38[i]+0)&0xff,*((char *)&v38[i]+1)&0xff,*((char *)&v38[i]+2)&0xff,*((char *)&v38[i]+3)&0xff);
	}
	return 0;	
}  

rc4部分:
#include<bits/stdc++.h>

using namespace std;

char flag[36]={0x56,0x4,0xb0,0xd4,0x9c,0x63,0x4d,0x30,0x96,0xce,0xc0,0x5,0x93,0xbe,0x3b,0x82,0x52,0x4b,0x16,0xb2,0x8a,0x33,0xb7,0x4d,0x6d,0x7b,0x99,0x50,0xc2,0xb1,0xc,0x12,0xe1,0x84,0xa,0x93};
int key[16]=
{   
	0x01, 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x00, 0x01, 
	0x00, 0x00, 0x00, 0x10, 0x00, 0x00
};
int KeyStream[36],num;
int S[256]; 
char T[256];    

int main()
{
	int i=0,j=0;
    for(i=0;i<256;i++)
	{
        S[i]=i;
        T[i]=key[i&0xF];
    }
	for(i=0;i<256;i++)
	{
		j=(j+S[i]+T[i])%256;
		swap(S[i],S[j]);
	}
	i=0,j=0;
    for(int k=0;k<36;k++)
	{
        i=i+1;
        j=(j+S[i])%256;
        swap(S[i],S[j]);
        KeyStream[num++]=S[(S[i]+S[j])%256];
    }
    for(int k=0;k<36;k++)
    {
		flag[k]^=KeyStream[k];
		cout<<flag[k];
	}
	return 0;
}
//flag{194836950ae9df840e8a94348b901a}
__ys
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android逆向-.so文件动态调试步骤
mingC0758的博客
07-07 5834
1、安装目标apk和把android_server(在IDA的dbgsrv目录下 )放到/data目录下,注意要给data和android_server文件赋予相应的权限: chmod 777 &lt;文件名&gt; 2、运行android_server: /data/android_server 3、打开新的控制台,打开adb端口转发: adb forward tcp:23946 ...
2021巅峰极客ichunqiu_baby-maze
qq_43583624的博客
07-31 3551
2021巅峰极客ichunqiu_baby-maze 题目来源和附件 Written by Poilzero(blog:poilzero.sipc115.club) 同步转发到简书和CSDN 题目来源: 2021巅峰极客网络安全技能挑战赛 reverse方向 baby_maze 个人解题目录和部分所需程序(含题目附件): https://poil.lanzoui.com/iOpu1s329mj 思路 程序逻辑 迷宫,输入WASD进行方向移动,Q是退出。 答案就是flag{md(输入的WASD组
动态调试so
mr_henry_love的博客
01-08 470
1. 找一个root过的手机, 把ida pro 安装目录下的android_server 放到 手机根目录下/data里面,  要注意的是, 即便是root过的手机, /data这个目录对外也只是只读的权限, 所以必须要调升权限才可以, 如果手机用的就是re 文件管理器的话, 那就最好了, 直接可以操作.   2, 这个文件拷贝进去之后, 还要把android_server的X 执行权限开放,
2021巅峰极客逆向medical_app题wp
sln_1550的博客
08-02 440
这题附件是个apk,查看了下dex,解密用的是原生so,直接把so拖入IDA: v3是输入的flag值,ss是加密后的正确值: 先看z4函数: 闻到一股茶的味道; 再看z3和z3函数: 感觉是RC4,等会先验证下: XXTEA的密钥和RC4的密钥都是d: 写脚本解密得到RC4后的flag: 5604b0d49c634d3096cec00593be3b82524b16b28a33b74d6d7b9950c2b10c12e1840a93 然后再解RC4即可得到flag: 这题感觉最简单,不知道为啥
2021巅峰极客逆向so_get_sourcecode题wp
sln_1550的博客
08-02 591
这题乍一看是个web,上传php马以后,可以看到flap.php,但是下载下来却是一堆乱码: 查看容器中运行了nginx和phpfpm,推测是这两个用了插件,对源码进行了加密: 依次查看nginx的php应用和模块,发现有个php_screw_plus.so很可疑。反编译后确认了此模块对文件对php文件解密后进行执行。 在github上也搜到了该项目screw-plus项目源码 下载后编译screw程序,记得要修改成so文件里的密钥,如下图红框位置: 然后运行,对源码目录进行解密: 满怀激动的打开fl
巅峰极客2021 what_pickle——一道综合性的python web
HBohan的博客
08-10 648
前言 这题好像是最少人做出的web,考察的知识点比较多,综合性比较强,感觉挺有意思的。很多人都是卡在某个知识点,尤其是最后读flag阶段。总的来说,由于这题涉及到各种很经典的python安全的知识点,挺适合刚接触python安全的初学者学习。 总的来说,流程是这样的。 debug导致部分源码泄露->wget参数注入读源码->session伪造->pickle反序列化->利用proc目录/构造uaf读flag 分析 信息搜集一波。得到如下几个目录。 [01:33:40] 200 -.
2020 巅峰极客 Re部分WriteUp
Hk_Mayfly的博客
09-29 896
virus 附件下载:https://wwa.lanzous.com/iZh5tgy9gbg 代码分为三部分 以'-'为间隔,将flag的第一部分转换为整型数字,并且满足后项-前项分别为[0x13,0x19,0x1a,0x1c]。最后一项为len(flag)-lastpos('-') 以'-'为间隔,将中间的字符串分别存储到road中 checkflag,即走四个20x...的迷宫,从...
巅峰极客snote
playmaker的博客
11-09 485
巅峰极客snote 链接:https://pan.baidu.com/s/1aAb4JjplV-MBj8iQCauI2Q 提取码:977o 复制这段内容后打开百度网盘手机App,操作更方便哦 查看保护&大致逻辑 是一个选单程序,且保护全开 功能分析 1.add 2.show dword_202014为1,只能泄露一次 3.delete dword_202010只能free一次,且...
idapro so文件查看神器
最新发布
10-06
idapro so文件查看神器,idapro so文件查看神器,idapro so文件查看神器
IDAExample.rar_IDA OPENSEES_OPENSEES_ida_matlab_opensees sdof
07-13
ida example for opensees
【反编译系列】四、反编译so文件IDA_Pro)-附件资源
03-05
【反编译系列】四、反编译so文件IDA_Pro)-附件资源
IDAPRO.rar_IDA Pro_ida_idapro_ida中文版_vc IDA Pro
09-14
IDA PRO中文版本帮助手册,喜欢IDA的朋友不要错过。
Frida_For_Ida_Pro:Frida 插件适用于 Ida Pro
06-14
Frida For Ida PRO 这是使用 Frida api 的 ida pro 插件。 主要是跟踪功能。 “您自己的脚本被注入黑盒进程以执行自定义调试逻辑。挂钩任何功能,监视加密 API 或跟踪私有应用程序代码,无需源代码” 访问站点以...
极客巅峰2021 web opcode
y0un9er
08-01 1006
pickle 反序列化,过滤R指令的rce
第一届巅峰极客
Xi4or0uji
03-09 1853
这个比赛真的是神仙打架,肉鸡划水到底,记下复现过程 misc warmup 图片放去stegsolve看一下可以看见最低位有异常数据(最上面 具体分析就会看见 两个ook编码,一个brainfuck编码,剩下的就是解码了 这里有个注意的是,他的编码每一句都在后面加了个英文的句号(你是魔鬼吧??),解码时要把它去掉 拼在一起就是flag了 loli 有个二维...
巅峰极客(MISC)
weixin_33810006的博客
07-24 417
关于巅峰极客写一下wp吧 毕竟自己那么菜(留给以后的自己看吧QAQ) 这一篇主要是关于杂项的(不简单呀!自己太渣了) 第一题:签到题: 直接打开就可以看到答案:flag{the_greatest_geek} 下面是杂项的内容: warmup 用stegsolve.jar打开图片,Analyse→Data Extract,...
【密码学RSA】2020巅峰极客_tryrsa解题过程及原理的详细分析
serendipity1130的博客
09-07 1616
1.题目: from secret import e1,e2,flag from Crypto.Util.number import * msg = bytes_to_long("=========Hint:e1="+str(3)+"=============") p = getPrime(512) q = getPrime(512) N = p*q print (N) print (pow(msg,3,N)) msg = bytes_to_long(flag) p = getPrime(1024
android中SO文件动态调试
omnispace的博客
03-07 2740
0X00 前言 为了增加APK文件的破解难度,很多比较重要的功能都是通过native实现,与反编译不同的是,java的伪代码可以很清楚的得到程序的逻辑关系,但是so文件反编译得到的是汇编代码,使用ida这样的神器可以得到c的伪代码。使用ida实现so的动态调试,可以在关键地方下断点,对于一些变换,比如有的时候输入的内容与经过一些列的变换后的结果比较,这个时候我们不需要关心中间的变换过程,
upx手动脱壳(esp定律手动脱壳)
__ys的博客
06-02 1322
ESP定律手动脱壳 拿到有upx壳的文件后,首先用xdbg打开。 然后F9运行到用户代码(有upx壳文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定律 接下来按图示方法: F9运行 发现popad,它的出现标志着我们的程序可能到达OEP,经验证下方的jmp跳转即为OEP 在jmp处下断点,F9运行,F8单步运行,到达OEP 之后用Scylla插件进行脱壳,具体步骤如下: 第一步点击IAT Autosearch 第二步点击Get Import
ida怎么调试so文件
07-27
IDA是一款常用的逆向工程工具,可以用于调试so文件。下面是一些基本步骤: 1. 打开IDA软件,并选择要调试的so文件。 2. 在IDA的导航栏中选择“File -> Load File -> Load File(以elf格式加载)”来加载so文件。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值