第59天:攻防世界-Mobile-lllusion

最新推荐文章于 2023-12-29 09:27:32 发布
最新推荐文章于 2023-12-29 09:27:32 发布
阅读量672 收藏
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41858371/article/details/103749076
版权

又是废物的一天。

昨天学了ARM汇编,今天看看这道题。

加载了so文件。

调用了原生程序的CheckFlag方法,参数v2是我们的输入,v1是assets目录内Flag文件的内容。  Ku@'G_V9v(yGS

然后分析lib-native.so文件。

直接找到这个方法进行分析,Java_monkeylord_illusion_MainActivity_CheckFlag

比较v11和v10,分析sub_10C0函数。

a2 = 93,所以必定执行sub_1028函数。

没啥分析的,直接抄代码就可以了。

然后发现这个函数跑出来是0,1,2....

估计IDA不够用了,检验ARM汇编的时刻到了。

ADDS R1,#0x20

对R1进行操作,所以我们分析函数看看R1。

进入sub_10C0函数,

发现 R0,R1,LR入栈,然后出栈到R1,R2,R3。

这个函数执行完  R1=R1-R2 * R0

R0是sub_1028中得到的,也就是0,1,2.....

R1等于原先的R0,R2等于原先的R1。

原先的R0是(输入的字符 + 给出的字符 - 64)

原先的R1是 93

所以最终的计算的字符串是 {(输入的字符 + 给出的字符 - 64)- 93  * (sub_1028的返回值)}

发现跑出来不对,然后看了看writeup,才知道我用的假函数,真正的函数在JNI_OnLoad里动态加载了,以后一定不能忽略这个函数。

查看off_4004:

跳转到sub_DC8处就是真正的函数。发现功能一样,就是给出的字符串发生了变化。

 

给出python脚本参考:

import string

s = "Ku@'G_V9v(yGS"
strs=string.printable
def decode(x, y):
    v2 = x ^ y
    v3 = 1
    v4 = 0
    if x < 0:
        x = -x
    if y < 0:
        y = -y
    if x >= y:
        while x > y:
            y *= 16
            v3 *= 16
        while x > y:
            y *= 2
            v3 *= 2
        while True:
            if x >= y:
                x -= y
                v4 |= v3
            if x >= y >> 1:
                x -= (y >> 1)
                v4 |= (v3 >> 1)
            if x >= y >> 2:
                x -= (y >> 2)
                v4 |= (v3 >> 2)
            if x >= y >> 3:
                x -= (y >> 3)
                v4 |= (v3 >> 3)
            if x == 0:
                break
            v3 >>= 4
            if v3 == 0:
                break
            y >>= 4
    if v2 < 0:
        return -v4
    return v4

flag = ''
data_tmp = '(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;'
for i in range(len(s)):
    for j in strs:
        data1 = ord(j) + ord(data_tmp[i]) - 64
        data2 = 93
        d = decode(data1, data2)
        print(str(data1)+':'+str(d))
        if (data1- d * 93) + 32 == ord(s[i]):
            flag += j
print(flag)

跑出flag,正确。但是攻防世界提交错误,。。。。

S1lenc3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
re学习笔记(93)攻防世界 - mobile进阶区 - Illusion
逆向随笔
11-08 762
jeb载入查看MainActivity 可以发现是将用户输入,与encflag传入了native方法中去,native方法的返回值就是显示结果 而encflag是从assets文件夹下的flag文件中获取的 之后IDA查看so文件 JNI_OnLoad动态注册了函数 查看逻辑 将input与字符串相加,再减去64,和93一并传入sub_10C0函数 之后将返回值加上32得到字符串结果。 将得到的字符串与参数二也就是encflag进行比较,返回比较结果 而sub_10C0函数,则是判断a2是否等于0
攻防世界illusion暴力破解
Devil丶LY
08-04 2485
看算法是不可能看算法的,这辈子都不可能看算法的,汇编又不会,出题人又苟得一匹,加密算法就算每一行都看懂了也不知道整体函数是干嘛的,只有暴力破解这种东西才能维持生活。
【愚公系列】2023年04月 攻防世界-MOBILEIllusion
时光隧道
04-25 8823
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
re学习笔记(98)攻防世界 mobile进阶区 ill-intentions
逆向随笔
01-15 3968
题目描述:Do you have have ill intentions? 打开查看MainActivity,仅仅注册了一个广播接收者 而这个广播接收者也没什么代码,仅仅是接受到不同的信息跳转到不同的Acitivity 三个Activity各有一个native函数 三个类逻辑差不多相同,只是调用的native方法不同,关系如下 DefinitelyNotThisOne:definitelyNotThis sThisTheRealOne:perhapsThis ThisIsTheRealOne:o.
第39攻防世界-Mobile—黑客精神
S1lenc3的博客
12-08 1110
吐槽!!! 为什么那么多人做了这道题,没人出writeup。 我就佛系解题法了。。。。 前边一顿无脑操作,直接来到native方法。 这几个方法名,发现在so文件里找不见,第一次遇到这种情况。。。 搜索字符串试试。 看到了希望,进去看看吧。。。 最后 发现四个函数,n1,n2,n3,callWork. n2是创建reg.dat文件,并且把输入的字符串存进去, n1是判...
擦除软件Commotion Pro 4.1带注册
12-27
除了上面讲到的特性合成软件中,还有许多出色的软件,比如Alias Wavefront的Composer、Media lllusion、Quentel的Henry和Domino、Soft lmage DS等等,我们这里就不再一一赘述。 大家如果掌握了—两种合成软件的具体...
攻防世界-file_include
m0_49025459的博客
12-18 7167
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload。文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型题。
【愚公系列】2023年05月 攻防世界-MOBILE(app1)
时光隧道
12-09 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
【愚公系列】2023年05月 攻防世界-MOBILE(app2)
热门推荐
时光隧道
12-10 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
攻防世界】 ill-intentions writeup
最新发布
2301_77295404的博客
12-29 390
第二种是利用objection直接让app跳到相应的activity(因为activity的exported没有设置成true,所以用objection跳,当然也可以把exported改成true,然后重新打包app),然后写Frida hook native 函数(当然直接hook java代码也行),第二种方法比第一种省时省力。该函数的参数有三个,首先要求出这三个参数的值,前两个参数是可见的,第三个参数是调用了另一个类的函数获得的。为了方便,我用python重写了关键部分,得到答案。
一些简单的Mobile CTF练习
AlickXc的专栏
09-09 1万+
资源链接https://download.csdn.net/download/alickxc/11705813 1.CISCN-2018 Illusion: 首先查看关键点: 可以看出app通过对用户输入数据加密并比较的方式判断flag准确性,再查看so实现, 首先JNI_Onload(): 获得加密函数地址: 这里函数翻译有误因为函数调推测并非C语言实现有着工整的开场...
史上最详细系列--攻防世界web(新手7-12)
weixin_43911311的博客
03-30 918
7.simple_php php简要学习 <?php ?> 这是基本格式 2.show_source() 函数对文件进行语法高亮显示。 高亮显示原文件如同我们看见的这样 3.include (或 require)语句会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。 将config.php文件的内容复制到此文件 4.a=@a=@a=@_G...
JNI字段描述符“([Ljava/lang/String;)V” --- 语法定义
且听风吟
09-16 1085
    “([Ljava/lang/String;)V” 它是一种对函数返回值和参数的编码。这种编码叫做JNI字段描述符(JavaNative Interface FieldDescriptors)。一个数组int[],就需要表示为这样"[I"。如果多个数组double[][][]就需要表示为这样 "[[[D"。也就是说每一个方括号开始,就表示一个数组维数。多个方框后面,就是数组 的类型。 ...
攻防世界 安卓题目刷题记录
qq_41071646的博客
11-18 913
先把 攻防世界的安卓题目刷刷,,,再去刷一些pwn题目。, 发现自己刷的也不多 估计剩下的都比较难 >=< app3 这个题目算是比较好看的 就一个坑点, 题目中给的文件是 .ab .ab 可以简单的理解成apk 的dump 文件 那么需要我们用 abe.jar的工具 可以分离出 文件, D:\gugexiazai\android-backup...
攻防世界crypto进阶区--flag_in_your_hand
qq_46927150的博客
05-02 3065
flag_in_your_hand 题目来源: CISCN-2018-Quals 附件解压后,是一个HTML文件和一个js文件 打开网页,查看源码,可以发现要让ic的值为true,才能拿到flag 查看js文件,发现只有第二个if语句条件不成立的时候,ic的值才能为true 而满足这个函数的条件的输入串s,就是token 则a数组的每一个元素减去3,再转换成对应的字符,就可以得到token的值...
攻防世界 CTF mobile 新手《app1》
江湖人称Boss沈的博客
05-28 1370
apk直接拖入jadx找到入口文件MainActivity 找到关键代码,versionName与versionCode进行异或操作 找到BuildConfig中的versionName与versionCode 代码略。。。
XCTF靶场实战(1)
weixin_51339377的博客
03-29 1257
新手练习区 1 禁用js 2 robots.txt在网站根目录 里面可以规定搜索引擎看或者不看什么内容 3 xxxx.txt.bak index.phpsxxxx.rar.zip.7z.tar.gz.bak.txt.swp github www.xxx.com/.git/config 苹果电脑 .DS_Store 文件/目录泄露 svn文件泄露 subversion,开源代码控制系统 www.xxx.com/.svn/entires ...
xctf攻防世界 CRYPTO高手进阶区 ecb,_it’s_easy_as_123
l8947943的博客
02-24 787
0x01. 进入环境,下载附件 给的文件没有任何后缀,放入kali中file一下,如图: 0x02. 问题分析 可以看到上面的文件是zip格式,因此,我们修改后缀为.zip,发现两个文件: task告诉我们4k用了黑白bmp。图片ecb.bmp提示该文件可能是ecb加密后的文件,ECB为分组加密的模式,自行百度!查阅wp后才发现,只需要改动文件头128位即可,代码如下参考链接: from Crypto.Util.number import long_to_bytes with open('ecb.bm
第33攻防世界-Mobile—app3
S1lenc3的博客
12-02 1743
临近考试依然不忘刷题,CTF保佑不挂科。 给了一个ab文件,我以为我下错文件了。。。。 查了一下,这是Android备份文件,给个链接,https://blog.csdn.net/qq_33356474/article/details/92188491 看完讲解ab格式的这篇文章,先下载一个Android backup extractor,然后对文件进行转换。 经过一系列操作,我们会...
第36攻防世界-Mobile—Ph0en1x-100
S1lenc3的博客
12-05 1575
工具 今体验体验新工具。俗话说,工欲善其事必先利其器。 APKIDE3.3.0 也叫APK改之理 详细讲解 在APKIDE中打开apk文件,然后打开java源码, 定位关键代码: 都调用getSecret方法,那就是说参数相等即可。 即getFlag()=encrypt(paraView) paraView就是我们的输入。 两个native方法,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值