bugku安卓部分题解

最新推荐文章于 2022-07-22 23:45:05 发布
最新推荐文章于 2022-07-22 23:45:05 发布
阅读量3.7k 收藏 2
点赞数 1
分类专栏: CTF-RE Android逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42892021/article/details/84999802
版权

bugku安卓部分题解

一、signin

1、首先将APK放进模拟器中运行,查看其报错关键字“Try again”,为后面做关键词定位做准备

2、利用APKIDE加载APK并进行反汇编

3、搜索“Try again”定位到Mainactivity.class利用jd查看其java源码(如果smali基础较好可以直接看smali代码)

   源码:

    public class MainActivity
  extends AppCompatActivity
{
  private String getFlag()
  {
return getBaseContext().getString(2131427360);
  }
  
  private void showMsgToast(String paramString)
  {
Toast.makeText(this, paramString, 1).show();
  }
  
  public void checkPassword(String paramString)
  {
if (paramString.equals(new String(Base64.decode(new StringBuffer(getFlag()).reverse().toString(), 0)))) {
  showMsgToast("Congratulations !");
} else {
  showMsgToast("Try again.");
}
  }
  
  protected void onCreate(Bundle paramBundle)
  {
super.onCreate(paramBundle);
setContentView(2131296283);
((Button)findViewById(2131165261)).setOnClickListener(new View.OnClickListener()
{
  public void onClick(View paramAnonymousView)
  {
paramAnonymousView = ((EditText)MainActivity.this.findViewById(2131165253)).getText().toString();
MainActivity.this.checkPassword(paramAnonymousView);
  }
});
  }
}

4、对getflag()方法中调用的ID进行逐级搜索查看到其加密字符串:

991YiZWOz81ZhFjZfJXdwk3X1k2XzIXZIt3ZhxmZ

5、在checkPassword()方法中对该字符串进行了解密即可的flag,以下为解密步骤

reverse()  ---->   Base64.decode
对字符串进行反转 ---->  对反转后的字符串进行base64解密

二、mobile1(gctf)

1、利用模拟器安装该APK发现界面与signin相似,直接利用androidkiller打开并反编译

2、查看Mainactivity.class文件,并利用jd打开

   部分关键源码:

   onCreate方法:

public void onCreate(Bundle paramBundle)
  {
super.onCreate(paramBundle);
setContentView(2130968601);
setTitle(2131099677);
this.edit_userName = "Tenshine";
this.edit_sn = ((EditText)findViewById(2131492945));
this.btn_register = ((Button)findViewById(2131492946));
this.btn_register.setOnClickListener(new View.OnClickListener()
{
  public void onClick(View paramAnonymousView)
  {
if (!MainActivity.this.checkSN(MainActivity.this.edit_userName.trim(), MainActivity.this.edit_sn.getText().toString().trim()))
{
  Toast.makeText(MainActivity.this, 2131099678, 0).show();
  return;
}
Toast.makeText(MainActivity.this, 2131099675, 0).show();
MainActivity.this.btn_register.setEnabled(false);
MainActivity.this.setTitle(2131099673);
  }
});
  }

   checkSN方法:

private boolean checkSN(String paramString1, String paramString2)
  {
if (paramString1 != null) {
  try
  {
if (paramString1.length() == 0) {
  return false;
}
if ((paramString2 != null) && (paramString2.length() == 22))
{
  Object localObject = MessageDigest.getInstance("MD5");
  ((MessageDigest)localObject).reset();
  ((MessageDigest)localObject).update(paramString1.getBytes());
  paramString1 = toHexString(((MessageDigest)localObject).digest(), "");
  localObject = new StringBuilder();
  int i = 0;
  while (i < paramString1.length())
  {
((StringBuilder)localObject).append(paramString1.charAt(i));
i += 2;
  }
  paramString1 = ((StringBuilder)localObject).toString();
  boolean bool = ("flag{" + paramString1 + "}").equalsIgnoreCase(paramString2);
  if (bool) {
return true;
  }
}
  }
  catch (NoSuchAlgorithmException paramString1)
  {
paramString1.printStackTrace();
  }
}
return false;
  }

3、可见在oncreate中调用了checkSN并传递两个值(‘Tenshine’和前台输入的flag)

4、在checkSN中首先对‘Tenshine’进行了MD5加密,之后截取其偶数位的字母;将截取的字母加上flag{}恰为22个字母,与我们输入falg在验证中长度必须为22相互验证。由此可以解除flag

三、mobile2(gctf)

flag在Mainactivity.xml里(脑洞题,不解释)

四、First_Mobile(xman)

1、利用Androidkiller对apk进行反编译利用jd查看其源文件定位到Mainactivity:

protected void onCreate(final Bundle paramBundle)
  {
super.onCreate(paramBundle);
setContentView(2130968602);
paramBundle = (EditText)findViewById(2131427413);
((Button)findViewById(2131427414)).setOnClickListener(new View.OnClickListener()
{
  public void onClick(View paramAnonymousView)
  {
new encode();
if (encode.check(paramBundle.getText().toString()))
{
  Toast.makeText(MainActivity.this.getApplicationContext(), "correct", 1).show();
  return;
}
Toast.makeText(MainActivity.this.getApplicationContext(), "failed", 1).show();
  }
});
  }
}

2、发现其调用了encode()方法,点击查看:

public class encode
{
  private static byte[] b = { 23, 22, 26, 26, 25, 25, 25, 26, 27, 28, 30, 30, 29, 30, 32, 32 };
  
  public static boolean check(String paramString)
  {
byte[] arrayOfByte1 = paramString.getBytes();
byte[] arrayOfByte2 = new byte[16];
int i = 0;
while (i < 16)
{
  arrayOfByte2[i] = ((byte)((arrayOfByte1[i] + b[i]) % 61));
  i += 1;
}
i = 0;
while (i < 16)
{
  arrayOfByte2[i] = ((byte)(arrayOfByte2[i] * 2 - i));
  i += 1;
}
return new String(arrayOfByte2).equals(paramString);
  }
}

以上为它对flag的加密算法,我们反向求解的运算法则:a[i]=122*n - 2b[i] +i (a[i]:flag对应的数列 n:任意值)对以上求解即可得到flag

五、HelloSmali2

1、本体通过对XMan.java进行分析,源码:

public class XMan {
public static void main(String[] args) {
String v6 = "+/abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
String s = "xsZDluYYreJDyrpDpucZCo";
StringBuilder sb = new StringBuilder();
for (int i = 0; i < s.length(); i++) {
int tmp = v6.indexOf(s.charAt(i));
String ss = Integer.toBinaryString(tmp);
if (ss.length() == 5) {
ss = "0" + ss;
} else if (ss.length() == 4) {
ss = "00" + ss;
} else if (ss.length() == 3) {
ss = "000" + ss;
} else if (ss.length() == 2) {
ss = "0000" + ss;
} else if (ss.length() == 1) {
ss = "00000" + ss;
} else if (ss.length() == 0) {
ss = "000000" + ss;
}
sb.append(ss);
}
String x = sb.toString() + "0000";
StringBuilder stringBuilder = new StringBuilder();
for (int i = 0; i < x.length(); i += 8) {
String tmp = x.substring(i, i + 8);
byte b = (byte) Integer.parseInt(tmp, 2);
stringBuilder.append((char) b);
}
System.out.println(stringBuilder.toString());


}
}

2、通过对源码的分析其算法思路是:查找字符串s在v6中对应的位置–>计算该数的二进制并补足6位–>按顺序连接所有二进制并在最后补0使其为8的倍数–>按每8位截取并转化为字符串即可解得

3、从上述代码可以发现它好像是base64解密,找到base64解密源码然后调用它解密

4、更简单的方法:既然已经给了java文件,为什么不直接用他写好的算法呢–>编译一下然后运行

fake-func

emmm本题分析了半天结果还是基础知识不扎实啊,直接上大神的WP链接:https://www.52pojie.cn/thread-820158-1-1.html

1、将APK反编译后发现调用了checkflag()方法,该方法存在于libcheckso.so文件中

2、利用IDA查看该方法并查看Java_com_example_p7xxtmx_1g_fakefunc_check_checkflag()方法——然后分析了半天。。。。接下来蒙蔽

3、看了大神的WP后get到新姿势(当对方法分析发现没有什么异常的时候,可以对JNI_OnLoad或者.init_array进行检查,一般会在这里面增加一些跳转代码来隐藏真正的函数)

4、在.init_array中进行了跳转到sub_E28,在这个函数里又调用了sub_E08,分析后得出这里进行了一个base64解密

5、在sub_E28里又有一个想base64但又不是base64加密的字符串

4、然后就是对后面的函数中的跳转进行查看,没用反回对下一个跳转继续查看。。。

5、当跳转到sub_F24就是我们所要的关键之一(利用findcrypt3能够查看加密算法)byte_4255-对应-RijnDael_AES_LONG_4255所以判断为AES加密

6、然后上网对前面的两个字符串试一下。得出了flag

MagicImageViewer

本题的WP与上一题同出一处,因为不会不敢写。。。等以后回头再来做一做

rev1(xman)

emmm直接编译运行了一下Xman.java然后就是flag了。。。

ISTARRYI
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
西普WEB大部分题解
12-09
【标题】"西普WEB大部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
Bugku——signin
王嘟嘟的博客
11-14 3556
0x00 前言 今天突然来一看,发现bugku更新了,正好来看一看。 本来以为只是一道前道题的。结果里面的道道还是有一点多的。我们接下来就分享一下思路,以及做法。 0x01 start 其实拿到这种都是要先安装看一下的。我能说我有一点懒么。 你们自己看一看就好。 我们使用AndroidKiller反编译。 然后回编译测试一下。 一道签到题,连回编译都不行了??? 试一下直接看java源码 ...
Bugku逆向——signin
qq_43470425的博客
07-12 848
signin 君远至此,辛苦至甚。 窃谓欲状,亦合依例,并赐此题。 androidkiller反编译,查看MainActivity.class里面的java代码。 里面涉及到base64解密、getFlag()函数、reverse()反转字符串、toString()字符串转化。 getFlag()函数使用到资源d为2131427360的字符串,在R.string文件找到id对应变量名为toString。 在strings.xml中找到变量名为toString对应的值。 使用python脚本解密: f
bugku————Sign_in
yhfgs的博客
10-17 1130
1.apk文件丢到jadx中, 分析代码,将getFlag()逆序在进行base64解密,之后与flag比较。 查看加密后的字符串在getFlag()方法中可得到加密后的字符串在c0243r.string.tostring处。 注:这里的213142737360是一个id,在资源中找到id对应的信息 在value的strings.xml中(可以知道这是字符串,字符串都是存在这个地方。) 2.解密 (1).倒序 (2)base64 3.get flag flag{...
BUGKU sign_in
weixin_41421812的博客
10-04 321
APK工具: APK反编译_Android小码农的博客-CSDN博客_apk反编译https://blog.csdn.net/s13383754499/article/details/78914592 1.源码 可以看出flag内容在strings中 2.打开strings.xtml文件
BugKu逆向之02-Sign-in.apk
ACGeny的博客
08-15 538
BugKu逆向之02-Sign-in.apk一、文件描述二、解题思路 一、文件描述 正儿八经的apk压缩文件,, 可以运行 1.28MB 好,,现在开始分析它,,, 二、解题思路 首先拿到这个文件,,第一反应是动态运行试试看,, 放到genymotion模拟器中运行,,它提示让你输入密码,,参照上图,, 随便输入密码试试看,,提示Toast为“try again”。。. 这,,,好吧,, 然后androidkiller打开,,静态反编译看看源码逻辑,,, 提示无法下一步源码反编译。。。这。。。
ural部分题解
10-25
"ural部分题解"是一个关于编程竞赛平台Ural(也称为URAL Online Judge或University of Maribor Algorithmic contests)的解题集,由大牛出品。这个资源包含Vol1到Vol3的部分题目解答,虽然不完整,但大约涵盖了200道...
含有历年来天梯赛部分题解
03-05
每题上方为题目序号,代码为题解部分题解有另法
西北工业大学 NOJ 部分难题题解
01-06
【标题】:“西北工业大学 NOJ 部分难题题解” 【内容详解】 “西北工业大学 NOJ(Northwest Polytechnic University Online Judge)部分难题题解”是一个专门为编程爱好者和学习者提供的资源,旨在帮助他们解决 ...
CAD部分题目题解.pdf
09-30
CAD部分题目题解.pdf
bugku rev1(xman) WP
Casuall的博客
07-03 1238
用JEB查看MainActivity的onCreate函数。首先创建了一个CheckClass类的实例c,调用c.a()函数处理输入,最后判断c.check()的返回值。 this.button.setOnClickListener(new View$OnClickListener() { public void onClick(View arg4) { MainActivity.this.c = new CheckClass();
Bugku Reverse signin
m0_63735735的博客
07-22 253
bugku re signin
bugku-安卓-signin
weixin_43980115的博客
04-10 2514
知识点: reverse() 功能:反转数组中的元素的顺序 语法:arrayobject.reverse.() 这种方法会改变原来的数组,不可逆转 tostring() 功能:将各种进制的数字转化为字符串 语法:number.toString(radix)(radix代表进制数) 字符串的管理地方是string.xml java在引用...
BugkuCTF-Reverse题signin
am_03的博客
08-27 746
知识点 reverse() 功能:反转数组里的元素的顺序 语法:arrayobject.reverse.() 这类方法会改变原来的数组,不可逆转 tostring() 功能:将各类进制的数字转化为字符串 语法:number.toString(radix)(radix代表进制数) 字符串的管理地方是string.xml java在引用函数时要倒着引用 解题流程 随便输入几个数据,点击LOGIN,flag要么从源码里得到,要么输入正确的值跳出flag 1.用jeb打开,找到MainActivity,右键解析成
BUGKU WP-signin
m0_55631425的博客
05-08 389
将.apk文件转化为zip压缩包,解压(apk为andior应用软件如果转化为zip或rar打不开或缺少软件可以apktools解压) 打开后从上到下分别是,程序的签名文件夹,资源文件夹,权限与窗体(Activity)声明文件,classes.dex,程序代码部分在这里面(众所周知的是,这也是一个压缩包),还有最后一个依旧还是资源文件,不过里面放着我们的字符串资源啦(翻译的时候就用他)。 可以从字符串资源resources.arsc入手,但能找到的实在是太多了,试着翻一下classes.dex文件 再使
bugkuctf练习平台reverse部分writeup
saltyfish_yuch的博客
09-06 8174
题目地址:http://123.206.31.85/challenges 题目:Easy_vb flag格式:flag{xxxx} 题目来自MCTF,原题目格式:MCTF{xxxx} 打开下载的文件是这样的界面 于是用IDA打开 找到flag 题目:Easy_Re flag格式:DUTCTF{xxx
bugku ctf Reverse 逆向入门 writeup
成长之路
07-17 8335
一、下载附件admin.exe 二、用notepad++打开 看到这个应该会想起利用Data URL将小图片生成数据流形式(Data URL讲解) 新建一个记事本 将admin.exe里面的代码复制到记事本双引号里面("") ctrl+s保存,把记事本后缀改成.html,然后打开。 扫一下,就能拿到flag
bugkuCTF平台逆向题第四道逆向入门题解
iqiqiya的博客
12-28 5382
题目链接: http://123.206.31.85/files/b2be7f63b064e490ca13a1aa2f594610/admin.exe tips: 双击无法运行 提示版本不对(win10) 查壳显示不是有效的PE文件 用WinHex打开显示  一看发现是图片的base64编码  可以这样 将文档保存为.html文件 用浏览器打开即可
bugkuCTF之这是一张简单的图片
xiaoguiyingxia的博客
08-02 1007
简单就是简单 将图片下载,我们用Stegsolve分析一下图片得到 我首先看到的是Hex试了很久也没有结果,不过下面还有一个Unicode的编码,复制等到的竟然是: 其实都是空格的原因,删去空格,得到结果: ...
bugku ctf sqli-0x1题解
最新发布
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值