感受
长安杯倾向于考察服务器的取证和网站的重构,第二次参加长安杯,相比第一次的懵逼这一次已经能出很多题目了。取证还是得多刷题,多总结归纳方法。
赛事背景
2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元;经询问,昨日金某被嫌疑人诱导裸聊, 下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警;警 方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包–zhibo.apk(检材一),请各位回答下列问题:(题目 中需要通过分析出来的答案对检材二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例192.168.110.110-CAB2021)
检材一:
计算检材一apk的sha256值 使用哈希工具计算即可
二、该apk的应用包名
①逆向分析代码
②使用apkmessager进行分析
三、该APK程序在封装服务商的应用唯一标识(APPID)为
唯一标识appid 是对apk的打包工具的记录 可以去调取注册打包工具人的详细信息
雷电app分析得到
分析源代码xml文件也能找到
4、该APK具备下列哪些危险权限(多选题): 全选
A.读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信
①、使用工具分析权限
②、雷电智能化分析
5、该APK发送回后台服务器的数据包含一下哪些内容(多选题): acde
A.手机通讯录 B.手机应用列表 C.手机号码 D.验证码 E.GPS定位信息
模拟器抓包可以得到三个内容的回传 后续的还需要分析后台数据
Z、
在对源码进行静态分析的时候 可以看到其获取的系统信息 并对那些数据进行回传
6、该APK程序回传通讯录时,使用的http请求方式为()
使用模拟器运行该软件进行抓包即可得到其请求方式为post
7、该APK程序的回传地址域名为【标准格式:www.abc.com】
接上题 抓包即可获得
8.该APK程序代码中配置的变量apiserver的值为【标准格式:www.abc.com/abc】
分析代码该apk为框架编写,java代码并没有直接实现apk的逻辑而是通过调用资源文件的来实现。所以这里我们要对资源文件进行分析。
在资源文件中找到apk首页的html
寻找html中的script(script在html中用来调用其他嵌入的脚本语言或者脚本文件)
找到了script很明显这段代码被加密了 需要对其进行解密才能看到这段代码
百度一下最开始的几个字符sojson.v4 有这种加密方式(普遍的都会对代码进行加密要注意)
将得到的代码复制出来继续分析 在notepad++里面直接搜索
找到变量的值
http://www.honglian7001.com/api/uploads/
9.分析该APK,发现该程序还具备获取短信回传到后台的功能,短信上传服务器接口地址为【标
准格式:www.abc.com/abc】
接上题
继续分析代码
看到这里的代码时感觉之前又看到过 read sms读取短信的权限 既然读取了那必然要往后台发送 可以断定这里就是回传短信的函数
看到这些注释 设置http请求类型 以及定义返回数据类型 可以判断这个函数应该是回传函数 根据之前的apiserver可以得到此处的服务器接口地址
http://www.honglian7001.com/api/uploads/apisms
百度了一下mui.ajax是mui框架里面封装的一个方法 向服务器发送数据并进行判断
10.经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该文件的文件名为 test.db
使用其雷电app分析工具 使用其内置的frida脚本hook出数据库相关信息
Frida是一款基于python和js的hook调式框架 可以实现直接对进程的调式。要下来学习一下了,这里不知道这个东西完全没法做。也可以自己去分析代码,利用python的frida库对程序进行调试得到相关的数据。
11.经分析,发现该APK在运行过程中会在手机中产生一个数据库文件,该数据库的初始密码为
接上题
c74d97b01eae257e44aa9d5bade97baf