ByteCTF2021 Final reverse ByteService wp

最新推荐文章于 2022-01-10 22:19:49 发布
最新推荐文章于 2022-01-10 22:19:49 发布
阅读量3k 收藏
点赞数 1
分类专栏: reverse 文章标签: jar android java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41866334/article/details/121916197
版权

安卓逆向 RPC调用 Lambda演算 jadx sympy
关键词由CSDN通过智能技术生成

AAA: immortal

题目给的apk里面是一个RPC调用, 发现找了ByteService这个服务

public void callCTFService(int i, int i2) {
        try {
            Class<?> cls = Class.forName("android.os.ServiceManager");
            Parcel obtain = Parcel.obtain();
            Parcel obtain2 = Parcel.obtain();
            obtain.writeInterfaceToken("android.os.IByteCTFService");
            obtain.writeInt(i2);
            ((IBinder) cls.getMethod("getService", String.class).invoke(cls.newInstance(), "ByteCTFService")).transact(i, obtain, obtain2, 0);
            obtain2.readException();
        } catch (RemoteException | ClassNotFoundException | IllegalAccessException | InstantiationException | NoSuchMethodException | InvocationTargetException e) {
            e.printStackTrace();
        }
    }

然后用题目给的一个xml链接, 通过

  1. AndroidStudio → Tools → SDK Manager → SDK Update Sites 添加题目给的xml,然后启动一个题目给的模拟器. 之后root模拟器,然后在已有服务里扒拉可以的jar包, 找到了framework.jar & services.jar
  2. 浏览器打开xml, 通过xml里的一个link下载system-image. 然后用7z解压system.img, Winhex打开super.img, 在里面也能扒拉出上面两个jar包

用jadx分析可知调用链:apk → IByteCTFService in framework.jar → ByteCTFService in service.jar → com.bytedance.bytectf.A in framework.jar

打开一看是lambada calculus, 可以查一些资料Lambda calculus引论 ,
丘奇编码, 认知科学家写给小白的Lambda演算 以及 wiki百科.

所以首先要搞明白A类里每个method的含义,根据查找的资料, 半猜半试得到下面的结果.

functiondescription
A.a返回0
A.b自增1
A.c乘法
A.d加法
A.e加上n(利用A.b实现)

check里检查一个16元一次方程组. 因此利用sympy求方程组, 直接抄check部分的java代码把它转成python的.

这里摸来了站队内4老师的脚本:

import re
import sympy

code = open('check.java', 'r').read()

# a list of tuple 
# func[0]:编号   func[1]:函数的code段
func = re.findall(r"private boolean check(\d+)\(\) {([^}]*)}", code, re.DOTALL)

class AA:
    def __init__(self):
        self.a = 0
        self.b = lambda x: x+1
        self.c = lambda x, y: x + y
        self.d = lambda x, y: x * y
        def e(n):
            return lambda x : x+n
        self.e = e
a = AA()
m1,m2,m3,m4,m5,m6,m7,m8,m9,m10,m11,m12,m13,m14,m15,m16 = sympy.symbols('m1,m2,m3,m4,m5,m6,m7,m8,m9,m10,m11,m12,m13,m14,m15,m16')

ll = []

for f in func:
    fid, code = f
    # code = re.sub('a(\d+)\.b\(', '1+(', code)
    code = code.split('}')[0].replace('A<Integer> ', '').replace('Function ', '').replace('this.', '').replace('    ', '')
    # print(code)
    code, ret = code.split('return')
    exec(code)
    ret = ret.strip().replace('((Integer) ((Function) ', '((').replace('.apply(f)).apply(0)).intValue();', '))')
    num, val = ret.split(' == ')
    ll.append(eval(val + ' - ' + num))

print('\n'.join(str(x) for x in ll))
result = sympy.solve(ll,[m1,m2,m3,m4,m5,m6,m7,m8,m9,m10,m11,m12,m13,m14,m15,m16])
s = ''
for v in [m1,m2,m3,m4,m5,m6,m7,m8,m9,m10,m11,m12,m13,m14,m15,m16]:
    s += (chr(result[v]))
print(s)
1mmorta1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[虎符CTF2021]GoEncrypt wp
小黑的猫窝
06-03 269
拖入IDA64,F5反编译,找到主函数main_main(),很多代码没看懂; 先看到main_statictmp_0,跟进发现“input flag”,即程序运行初始显示的字符串; 接着调用fmt_Fprintln()和fmt_Fscanf()函数,按照函数名称理解应该是实现输出输入的功能,跟进去看了一下,还是什么也没看懂; 接着看到main_check()函数,跟进去看到一行代码: 跟进unk_5041E5,可以发现flag的正则表达式,flag{([0-9a-f]{8})-([0-9a-f]{4})
ByteCTF2021安全范儿高校挑战赛线上Misc-《HearingNotBelieving》
Mark的博客
10-19 3532
刚拿到文件便发现是一段音频,直接丢进Audacity 频率改一下窗口大小再放大(便不会模糊) 前面的是频谱图中有二维码,截图后手拼下得到前半段flag拼接完成我这加了个滤镜才扫出来了 得到第一部分的flag 第二部分的flag需要通过音频转图片的方式得出,这里用到了Robot36这个手机软件(没有软件的可以私聊发给你),在手机上打开软件,然后通过电脑外发音频,手机麦克风接受音频然后得到图片,最后进行拼图 类似这种图很多张 最后ps或ppt进行拼图得到 加个滤镜就可以扫出来 处理下扫描得到后半段
ByteCTF2021-复现-misc-Hearing is not believing
ookami6497的博客
10-19 1238
里面大佬太强了,我好菜啊 下载附件得到一个hearing.wav文件 先用Audacity打开,查看频谱图,一看这前面是个二维码,拼就完事:画二维码网站(外国的) 先截得清晰一些 注意这是反色过的二维码,建议反色后再照着拼 拼出来的结果 扫描后得到 m4yB3_ ,一看就不全 然后我就不会了,,,后面看大佬的wp才知道后面是用 robot36 解密(和sstv搭配使用,sstv将图片转声音,由喇叭发声,,,,,robot36将声音转图像。。) 用手机装个robot36
2021 bytectf pwn bytezoom
yongbaoii的博客
10-21 902
保护显然是全开的。 是一道C++的pwn题,c++的pwn分析起来十分复杂,关于堆中chunk的各种分配、释放也非常的麻烦,因为各种对象,各种结构体都会涉及到chunk的申请释放。 我们一点一点分析 首先是功能1,create 因为分两个部分,分别是cat dog,但是里面的内容是一样的,我们就以dog为例就好。 其中我们要注意的首先是string这个结构体。 它的规则是首先申请一个chunk内容为0x10大小的chunk,也就是chunk大小是0x20. 如果我们的输入放不下,就释放这个chunk,.
2021 bytectf pwn bytecmsc
yongbaoii的博客
10-21 468
保护显然是全绿 我们来分析程序 首先会进入一个验证环节。 里面会将那一串字符串进行一个随机,随机的种子是time。 那么我们显然不能够用常规方法过掉检查,因为毕竟是会跟时间为种子的随机数随机起来。 那么我们要知道,time这里的种子是秒级的,不是毫秒,那么我们可以在写exp的时候也同时启动一个time的种子,然后来将字符串进行同样的随机,以此来达到一个预测随机的目的。 因为time种子是秒级的,基本上都可以过。 下面是一个堆。 我们逐个分析。 add函数 是一个while循环,输入1可以继续加。 里
C++ reverse介绍及使用
10-09
在C++编程语言中,`std::reverse`函数是一个非常实用的工具,它允许程序员轻松地反转各种序列,包括字符串和数组。这个函数是C++标准库中的成员,位于`<algorithm>`头文件中。本篇文章将深入探讨`std::reverse`函数...
什么是reverse常见的reverse有哪些
最新发布
05-19
reverse
Scroll Reverse
12-09
标题“Scroll Reverse”所指的是一个针对MacOS操作系统的应用程序,它的主要功能是解决用户在使用鼠标滚轮或触控板滚动时感到不便的问题。在MacOS系统中,默认情况下,滚轮向上滚动会向下移动页面,这与许多Windows...
DB2中REVERSE函数的实现方法
09-10
在本话题中,我们将探讨DB2中的`REVERSE`函数,这是一个用于反转字符串顺序的函数。根据描述,虽然Oracle和SQL Server也内置了类似的函数,但它们的参数和返回类型略有不同。 在Oracle中,`REVERSE`函数接受一个`...
linklist-reverse.rar_linklist reverse
09-24
在本程序"linklist-reverse.rar_linklist reverse"中,主要涉及了链表的创建以及链表元素的逆序显示两个关键知识点。下面将详细阐述这两个概念及其在实际编程中的应用。 首先,我们来了解链表的基本概念。链表不同...
ByteCTF2021 double sqli详解
Mrs_H的博客
10-20 531
ByteCTF2021–writeup(double sqli) 一.正文 首先,拿到题目之后,访问网站的根目录,可以看到一个链接,点进去之后就网站就会返回一个图片。图片之没什么用的,然后直接访问files目录。 利用nginx配置不当导致的目录跨越漏洞进行利用。访问files…/ 发现可以访问任意目录,然后到/var/lib/clickhouse/access下下载sql文件,有一个SQL文件是可以下载的。 下载之后,用workbench把它打开,查看其中的文件内容。 我们可以看到有一个user_
2021ByteCTF初赛web double sqli
XINO
11-21 4969
题目啥都没说 在判断注入点是发现提示 something in files 猜测目录文件里有东西,我们尝试进入files 39.105.175.150:30001/files/ 直接这样的话我们只能发现一个图片,经过尝试发现 http://39.105.175.150:30001/files../ 这样可以实现路径穿越 经查找发现main.py源码,download下来 app = Flask(__name__) client = clickhouse_driver.Client(host='127.0
赛宁网安助力字节跳动 2021 ByteCTF总决赛圆满落幕
Cyberpeace的博客
12-17 494
本次线上赛由赛宁网安竞赛靶场平台支持,竞赛靶场是以赛代练、以赛促学的网络安全实战竞技平台。
ByteCTF2021 reverse languagebinding writeup
qq_41866334的博客
10-18 773
Language Binding AAA : immortal 拿到题目ida打开发现是go语言逆向,而且函数名都被混淆掉了,动态调了一下整个人都傻了。 之后尝试直接打开了new_lang_script.out,看了一下有大量的0x55所以估计就是异或了0x55,解密出来发现是一个luac文件,修改文件头以后直接用luac -l执行,发现会报错。和我自己写的lua脚本比对会发现题目luac中的opcode全都是打乱的。 此时猜测这个程序就是用go语言写的一个执行luac脚本的编译器,因此真正解释执行的
2021.红客训练营CTF第二场——Reverse部分wp
mcmuyanga的博客
03-06 590
惯例吐槽没有pwn,试试Reverse 1. whereisflag elf文件,无壳,直接用ida打开,检索字符串看到whereisflag,双击跟进找到关键函数 拼接一下字符串得到flag CnHongKe{849bc02af213b4d} 2. Reverse1 运行一下程序,知道大概的情况 32位程序,存在upx壳 upx脱壳后用ida打开,根据运行时候看到的字符串,找到关键函数 ida反编译的伪代码有些地方读不懂,直接动调分析函数 这道题的逻辑就是:输入长度为11的字符串,逆序后每一位的
2021NSCTF RE WP
weixin_45803474的博客
07-31 625
题目 链接:https://pan.baidu.com/s/1yt4LNXsk6kdfnaVjT4AsNQ 提取码:py32 ViolentScript.apk 做法一 AndroidKiller搜索flag{定位主函数 一般题目字符串中没有flag时 从smali->com中找 apk中original存放的是配置信息,res存放资源文件(图片视频之类),smali存放字节码文件,其中AndroidAndroidx为安卓库文件,com中存放的是用户自定义的包 查看java源码 package c
2021ByteCTF题目及附件
NNanfeng
10-18 799
需要的师傅自行下载哦,点个赞吧 hi,这是我用百度网盘分享的内容~复制这段内容打开「百度网盘」APP即可获取  链接:https://pan.baidu.com/s/1CqvAZ9TP93QSqX8aKg4A2Q  提取码:xgk4
Bytesctf2021 frequently详解
Demodd的博客
10-22 4215
frequently 先看的tcp的流,没发现什么东西,然后开始看UDP,在UDP的第一个流发现 得到 se1f_wIth_m1sc^_^} 然后一直往后看,在第68个流发现png的base64加密后的数据 base64解密一下发现 继续往后看发现多个一样的数据,传输图片无疑了。 当时解题时候直接依据这个提取了这部分数据,包括重复的包还有多的包等等(体现了对过滤语句的不熟练) 通过观察可以发现这部分数据的源地址和目的地址都是相同的可以先通过这个过滤 ip.src==10.2.173.238 and
re学习笔记(95) 2021ByteCTF intent重定向浅析
逆向随笔
01-10 3452
一直没搬过来 由2021ByteCTF引出的intent重定向浅析 在此先感谢ByteCTF的赛前培训,感谢summer师傅的倾情讲解 Intent浅要概述 Intent是Android程序中各组件之间进行交互的一种重要方式,它不仅可以指明当前组件想要执行的动作,还可以在不同组件之间传递数据。Intent一般可被用于启动活动、启动服务以及发送广播等场景。 Intent是一种运行时绑定(runtime binding)机制,它能在程序运行的过程中连接两个不同的组件。通过Intent,你的程序可以向Andro
buuctf reverse wp
08-03
根据提供的引用内容,我们可以得到以下信息: ...根据以上信息,我们可以推断buuctf reverse wp是关于逆向工程的挑战。具体来说,可能需要分析get_flag()函数和main函数的逻辑,以及对n进行因式分解,以获取flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值