攻防世界illusion暴力破解

已于 2022-08-04 21:05:28 修改
阅读量2.4k 收藏 2
点赞数 1
分类专栏: 移动端 unidbg CTF 文章标签: java android 安全
于 2022-08-04 02:26:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39736559/article/details/126151830
版权
移动端 同时被 3 个专栏收录
6 篇文章 1 订阅
订阅专栏
CTF
6 篇文章 0 订阅
订阅专栏
unidbg
3 篇文章 1 订阅
订阅专栏

攻防世界illusion暴力破解

看算法是不可能看算法的,这辈子都不可能看算法的,汇编又不会,出题人又苟得一匹,加密算法就算每一行都看懂了也不知道整体函数是干嘛的,只有暴力破解这种东西才能维持生活。

一、初步分析

先把illusion.apk拖进jadx进行分析,发现java逻辑很简单,就主界面一个按钮,点击就会调用CheckFlag函数进行校验,这个函数传入两个参数,一个是flag,一个是encflag
请添加图片描述其中flag是我们输入的值,encflag是存在文中进行读取的,拿jadx直接打开便可得到
请添加图片描述

二、ida pro进行So文件分析

接着便用ida pro打开so文件进行分析(用Frida写完脚本后死活触发不到,后面看了网上大哥解体思路才发现这是个假函数,根本没有调用,而且对比的字符串也不对,所以hook它根本没有用,此处就不再演示了。 PS: 然额我在这儿死磕了十几个小时,算出来结果不对,一直以为是算法的特性。。。。)
请添加图片描述真正调用的函数需要去Jni_Onload这个函数中找,最终找到的函数为sub_dc8这个函数(Tips:定位到相关代码按F5可以调出伪代码,在伪代码中按TAB键可以跳转到对应的汇编代码)
请添加图片描述然后就需要开始分析伪代码了(咱就是说,虽然不想分析代码,但也不能一点儿代码不看)
请添加图片描述
根据伪代码分析,核心思路就是将输入的flag字符串逐个字符通过运算后,进行储存,然后查看是否和encflag一样。

显然,这儿的伪代码是有问题的,sub_10c0函数的返回值没写明,而且V7变量也没赋值,虽然猜测过函数的值直接赋值给V7然后+32,但结果显然不对。(因为在研究解密函数几小时无果后,果断百度求助大佬,然后某位大佬通过枚举发现,这函数就返回0,1两个值)

并且sub_10c0的核心函数是里面的sub_1028,大概长这样
请添加图片描述
像我这种计算机渣渣,百度了半天就算能差不多搞明白某几步在干嘛,也看不懂整体函数是在干嘛,更整不出decode函数来反向推演。

三、暴力破解

于是乎,咱有了一个大胆的想法,既然正确的flag加密和flag_enc全等,而且flag加密后的位数和加密前的位数相同,那么我可以先输入一个字符,加密后必然等于flag_enc的第一个字符,来暴力破解第一个,破解完第一个后再破解第二个,反正每个字符最多也就127种可能,时间复杂度也不高。

暴力破解的关键点在于修改传入的参数,以及获取每次加密后的字符串,传入的参数可以直接主动调用sub_dc8函数进行,加密后的字符串可以根据最后的判断两个加密串是否全等的函数j_strcmp的入参进行获取。

然而frida的So调用不是很友好(可能是我比较菜),途中经历过无法主动调用sub_dc8函数,尝试模拟点击按钮以触发sub_dc8函数,以上操作调用sub_dc8函数后均未触发j_strcmp函数,导致frida以失败告终。(失败的hook脚本就不放来,太乱了。。。)

在Frida进行无数次尝试后,无计可施的我已经渐渐开始放弃了Frida,偶然想起好像有个叫unidbg个东西,不知道干啥用的。抱着多学门手艺死(马当活马医)的态度,去了解了一下,发现是专门针对So的工具。于是忽,在大量google baidu后,终于写出了unidbg的暴力破解脚本,并成功打出flag,脚本如下:

package com.test;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.arm.HookStatus;
import com.github.unidbg.hook.HookContext;
import com.github.unidbg.hook.ReplaceCallback;
import com.github.unidbg.hook.hookzz.HookZz;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.Module;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.pointer.UnidbgPointer;
import com.sun.jna.Pointer;
import unicorn.Arm64Const;
import unicorn.ArmConst;

import java.io.File;
import java.util.ArrayList;
import java.util.List;

public class illusion extends AbstractJni {
    private final AndroidEmulator emulator;
    private final VM vm;
    private final Module module;
    private DvmClass cNative;
    private static String r0;

    private illusion () {
        // 创建模拟器实例,进程名建议依照实际进程名填写,可以规避针对进程名的校验
        emulator = AndroidEmulatorBuilder.for32Bit().setProcessName("monkeylord.illusion").build();
        // 获取模拟器的内存操作接口
        final Memory memory = emulator.getMemory();
        // 设置系统类库解析
        memory.setLibraryResolver(new AndroidResolver(23));
        // 创建Android虚拟机,传入APK,Unidbg可以替我们做部分签名校验的工作
//        vm =  emulator.createDalvikVM(new File("unidbg-android/src/test/java/com/test/llusion.apk"));
        vm =  emulator.createDalvikVM();
        // 加载目标SO
        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/java/com/test/libnative-lib.so"), true); // 加载so到虚拟内存
        //获取本SO模块的句柄,后续需要用它
        module = dm.getModule();
        vm.setJni(this); // 设置JNI
        vm.setVerbose(false); // 打印日志

        dm.callJNI_OnLoad(emulator); // 调用JNI OnLoad
    }

    public static void main(String[] args) {
        illusion test = new illusion();
        test.hook();
        String flag_enc = "Ku@'G_V9v(yGS";

        String flag = "";

        for (int index = 0; index < flag_enc.length(); index++) {
            for (int i = 33; i < 127; i++) {
                test.CheckFlag(flag + String.valueOf((char) i), flag_enc);  // 进行判断
                if ((illusion.r0.length() > index)  && (flag_enc.charAt(index) == illusion.r0.charAt(index))) {
                    flag += String.valueOf((char) i);
                    break;
                }
            }
            System.out.println("Flag[0:"+index+"]: "+flag);
        }

        System.out.println("Completely Flag is: "+flag);

    }

    private void CheckFlag(String flag, String flag_enc) {
        //创建jobject对象
        DvmObject<?> thiz = vm.resolveClass("monkeylord.illusion").newObject(null);
        List<Object> list = new ArrayList<>(10);
        list.add(vm.getJNIEnv());
        list.add(0);  
        list.add(vm.addLocalObject(new StringObject(vm, flag)));   // arg 3
        list.add(vm.addLocalObject(new StringObject(vm, flag_enc)));   // arg 4

        Number number =  module.callFunction(emulator, 0xdc9, list.toArray());
//        System.out.print("result:");
//        DvmObject<?> object = vm.getObject(number.intValue());
//        System.out.print(object.getValue().toString());
    }

    public void hook() {
        HookZz hook = HookZz.getInstance(emulator);
        hook.replace(module.base + 0x00000E64+1, new ReplaceCallback() {
            @Override
            public HookStatus onCall(Emulator<?> emulator, HookContext context, long originFunction) {
//                System.out.println(context.getPointerArg(0).getString(0));  // 入参1 R0寄存器
                illusion.r0 = context.getPointerArg(0).getString(0);
//                System.out.println(context.getPointerArg(1).getString(0));  // 入参2 R1寄存器
                return super.onCall(emulator, context,originFunction);
            }

        }, true);
    }
}

运行结果如下:
请添加图片描述Flag->CISCN{GJ5728}

最后,我只想说,unidbg赛高!!!!!

Devil丶LY
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 安卓题目刷题记录
qq_41071646的博客
11-18 875
先把 攻防世界的安卓题目刷刷,,,再去刷一些pwn题目。, 发现自己刷的也不多 估计剩下的都比较难 >=< app3 这个题目算是比较好看的 就一个坑点, 题目中给的文件是 .ab .ab 可以简单的理解成apk 的dump 文件 那么需要我们用 abe.jar的工具 可以分离出 文件, D:\gugexiazai\android-backup...
【愚公系列】2023年04月 攻防世界-MOBILE(Illusion
时光隧道
04-25 8765
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
攻防世界题目练习——Crypto密码新手+引导模式(一),作为网络安全程序员
最新发布
2401_83946224的博客
04-16 450
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。由于前面128项式子中,mask的系数initState[0-127]有很多0,因此无法根据前128个式子计算出mask的值,需要从outputState[0]开始列方程组。而RSA的安全性就在于大数n的不可分解性,一个很大的数n是很难在现有条件下分解成两个素数p、q的乘积的,因此想要破解出私钥d的值是很难的,也就很难被解密。
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
re学习笔记(93)攻防世界 - mobile进阶区 - Illusion
逆向随笔
11-08 702
jeb载入查看MainActivity 可以发现是将用户输入,与encflag传入了native方法中去,native方法的返回值就是显示结果 而encflag是从assets文件夹下的flag文件中获取的 之后IDA查看so文件 JNI_OnLoad动态注册了函数 查看逻辑 将input与字符串相加,再减去64,和93一并传入sub_10C0函数 之后将返回值加上32得到字符串结果。 将得到的字符串与参数二也就是encflag进行比较,返回比较结果 而sub_10C0函数,则是判断a2是否等于0
【CTF | 网络安全攻防世界 command_execution 解题详析
等风来
05-21 5643
[CTF/网络安全] 攻防世界 command_execution 解题详析
攻防世界-难度1-Misc总结
Welcome To Myon'Blog !
03-05 4738
攻防世界-难度1-Misc总结 ; 主要针对Misc入门、图片隐写; kali linux、Stegsolve.jar、010Editor、WinHex、QR Research、Ziperello、ARCHPR、RX-SSTV、IDLE、Bandizip、7zFM、Firefox、SilentEye、DeepSound、PS、Wireshark;binwalk、foremost、zsteg、strings、grep、stegpy、file、checksec、pngcheck、convert、montage
攻防世界NewsCenter
qq_45955869的博客
05-19 501
提示:攻防世界新手模式难度2NewsCenter提示:以下是本篇文章正文内容,下面案例可供参考比较基础,比较简单。
Illusion_Wizzard
08-26
Illusion_工具你们这些都是为了保证安全资源共享规则Illusion_极品MOD
optical illusion test
03-03
demo use edge to show optical illusion
IllusionConnectData:包含lua脚本和移动游戏Illusion Connect游戏数据的存储库
03-30
幻觉连接数据 包含lua脚本和移动游戏Illusion Connect的游戏数据的存储库。 更新将在可用时自动推送。 不,我不会帮助您解密文件,甚至不要问。
illusion游戏提取工具
02-23
支持大部分illusion游戏,电车2.3什么的,自己看看吧
Digital Illusion 3D-开源
05-09
具有高度模块化框架的开源建模/渲染包。
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1304
学习pwn开始,慢慢来不要急
攻防世界weak_auth知识详解
m0_74047686的博客
03-18 1810
一、在CTF的Web题目中,有很多涉及到密码爆破的题目,一般可以从以下几个方面来判断密码爆破类型:题目描述:通常题目描述中会给出一些提示,例如提示破解某个服务的密码,或者提示破解某个加密算法的密钥等。这些提示可以帮助我们确定密码爆破的类型。请求响应:在使用Burp Suite等工具进行抓包分析时,可以查看请求响应,观察是否有类似密码错误、尝试次数限制等提示信息,或者观察是否有重复的请求,这些都可能是密码爆破的线索。加密算法:如果题目中涉及到密码加密算法,可以通过分析算法的特点来判断密码爆破类型。
CTF-攻防世界web新手入门篇
weixin_45923850的博客
04-14 1万+
CTF练习题目
攻防世界-unseping
m0_49025459的博客
12-17 2785
通过分析上面的代码我们可以得出,我们只要控制ctf这个参数的输入的值,就可以达成命令执行的效果,但是上面的代码,我们需要两个参数ping和后面命令执行的值,我们首先就得看看当前目录下都有些什么东西。我们看见 flag_1s_here目录下有一个flag_831b69012c67b35f.php,我们猜想运行这个php或者将它拿出来就可以获得flag,我们访问了该路径发现是空白的无法执行,那我们就用cat命令将这个php读取出来,我们可以使用三中命令读取。打开就是PHP源码,我们对源码进行分析。
【愚公系列】2023年06月 攻防世界-Web(wzsc_文件上传)
时光隧道
06-17 4993
文件上传漏洞(File Upload Vulnerability)是指攻击者通过某种方式绕过应用程序上传文件的安全检测机制,将恶意文件或脚本上传至目标服务器,达到执行任意恶意代码的目的。攻击者可以通过此漏洞窃取、篡改、删除或破坏网站数据,或对受害者发起其他形式的攻击。文件上传漏洞可能出现在各种类型的Web应用程序中,包括电子商务、CMS、论坛、博客、社交网络和在线媒体等。攻击者通常会利用Web应用程序提供的文件上传功能,来上传恶意文件。
攻防世界MISCall
一颗小白菜的博客
04-02 1848
攻防世界MISCall 1、题目 网址:攻防世界 2、原理及工具 原理:git信息泄露 git官网资料:https://www.git-scm.com/book/zh/v2 工具:kali、python 3、解题过程 下载下来的文件名字太长,先改个名字 root@kali:~/Desktop/CTF# mv d02f31b893164d56b7a8e5edb47d9be5 miscall roo...
Light Illusion产生的.3dl文件使用C++解析
05-25
Light Illusion的.3dl文件是一种文本文件,因此使用C++解析它是可行的。您可以使用C++中的文件输入/输出(fstream)类来打开并读取文件内容。然后,您可以使用字符串分割和转换函数来解析文件中的数据,并将其存储在适当的数据结构中。 首先,您需要打开文件并读取其内容,可以像下面这样使用fstream类: ```c++ #include <fstream> #include <string> std::ifstream file("example.3dl"); std::string content((std::istreambuf_iterator<char>(file)), std::istreambuf_iterator<char>()); ``` 上述代码将文件example.3dl的内容读入到字符串变量content中。接下来,您可以使用字符串分割函数(例如split())将content字符串分割为行,并使用字符串流(stringstream)将每个行分割为单独的数据。以下是一个示例代码,该代码假设.3dl文件中的每一行都包含两个浮点数值: ```c++ #include <sstream> #include <vector> std::vector<std::pair<float, float>> data; std::istringstream ss(content); std::string line; while (std::getline(ss, line, '\n')) { std::istringstream line_ss(line); float val1, val2; line_ss >> val1 >> val2; data.push_back({val1, val2}); } ``` 上述代码将文件内容分割为行,然后将每一行分割为两个浮点数值,并将每个值存储在一个pair中。pair然后添加到vector中,表示文件中的所有数据。您可以使用类似的代码来解析其他数据类型或更复杂的数据结构。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值