国赛ciscn2024-WP-re2-androidso_re(frida+objection-hook解题)

已于 2024-05-20 11:04:48 修改
阅读量466 收藏 10
点赞数 5
分类专栏: 比赛WP 文章标签: ctf Reverse frida frida-objection 安卓逆向 国赛2024 ciscn2024
于 2024-05-20 11:04:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65474192/article/details/139060012
版权
0.解题思路

首先查看数据的apk需要什么运行环境:

环境:

  1. 雷电模拟器安卓版本7.1

    别的版本会闪退,后面分析原因!

打开jadx进行代码伪代码分析:

很显然校验位置在这里了!

    private boolean legal(String paramString) {
        return paramString.length() == 38 && paramString.startsWith("flag{") && paramString.charAt(paramString.length() - 1) == '}' && !inspect.inspect(paramString.substring(5, paramString.length() - 1));
    }

这里是第一层校验:flag{aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa}

继续找第二层校验:

很明显校验就在这个位置了!
主要是获取native层的jni.getkey()和jni.getiv()的返回值就可以进行DES解密了就可以获得flag!

我采用的方法是通过frida+objection+雷电模拟器的方法hook掉这两个方法获取返回值!
需要学习objection进行hook的可以自行搜索学习
或者移步:安装frida-objection-Android的hook框架-CSDN博客
版本信息:

雷电模拟器安卓版本7.1

C:\Users\Administrator>objection version
objection: 1.11.0

C:\Users\Administrator>frida --version
16.1.11

由于雷电模拟器安卓版本7.1第一次点check不会报错,点第二次才会闪退,所以需要手动hook两次!
输入的数据要求可以触发so文件的方法:flag{aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa}
得到IV:‘Wf3DLups’

得到KEY:‘A8UdWaeq’

1.程序闪退原因分析

先查看一下apk闪退的原因:
先使用adb shell ps查看一下apk的进程id:

u0_a19    1996  1119  1783056 88000          0 7ffff5a827ea S com.android.flysilkworm:filedownloader
u0_a36    2096  1119  1375044 110416          0 7ffff5a827ea S com.example.re11113
root      2205  1117  9940   2712           0 7ffff7c8c6c7 R ps

再打开adb shell logcat 看卡系统日志输出了什么!发现是输入中莫名其妙多了一个0xbb!
所以报错原因是因为编码问题奔溃!

adb shell logcat

再来是一次,发现第一次点击不会报错第二次才会,不理解:

adb shell logcat

 Button ID: Button ID: 2131230723
 libnb   : enter native_bridge2_isSupported /data/app/com.example.re11113-1/lib/arm64/libSecret_entrance.so
 libnb   : enter native_bridge2_loadLibrary /data/app/com.example.re11113-1/lib/arm64/libSecret_entrance.so
 audio_hw_hal: raw_start_output_stream, stream=0xf6e43140, sampleRate=48000, channel=2, bps=16, bufSize=4096
 AudioFlinger: mixer(0xf5983b80) throttle end: throttle time(20)
 houdini : [2288] Added shared library /data/app/com.example.re11113-1/lib/arm64/libSecret_entrance.so for ClassLoader by Native Bridge.
 libnb   : enter native_bridge2_getTrampoline JNI_OnLoad, trampoline_addr 0x0
 libnb   : enter native_bridge2_getTrampoline Java_com_example_re11113_jni_getkey, trampoline_addr 0x7fffd3e7ef90
 libnb   : enter native_bridge2_getTrampoline Java_com_example_re11113_jni_getiv, trampoline_addr 0x7fffd3e7eee0
 System.err: java.lang.Exception: Toast callstack! strTip=You are wrong.
 System.err:    at android.widget.Toast.show(Toast.java:130)
 System.err:    at com.example.re11113.MainActivity.onClick(MainActivity.java:51)
 System.err:    at android.view.View.performClick(View.java:5637)
 System.err:    at com.google.android.material.button.MaterialButton.performClick(MaterialButton.java:1131)
 System.err:    at android.view.View$PerformClick.run(View.java:22429)
 System.err:    at android.os.Handler.handleCallback(Handler.java:751)
 System.err:    at android.os.Handler.dispatchMessage(Handler.java:95)
 System.err:    at android.os.Looper.loop(Looper.java:154)
 System.err:    at android.app.ActivityThread.main(ActivityThread.java:6305)
 System.err:    at java.lang.reflect.Method.invoke(Native Method)
 System.err:    at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:892)
 System.err:    at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:782)
Brinmon
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[2024CISCN]国赛初赛WEB题目复现_2024国赛初赛unzip题目复现(2)
weixin_58163367的博客
04-15 1311
现在我们知道,既然hint提示需要调用JSONObject的put,而该类并没有readObject方法,故而需要找到一个能够调用任意类的put方法的链子作为gadget的一部分,而JSONObject正好也属于Map的实现类,从常用的反序列化类中,符合条件的就是。通过transform间接地实现控制value,并且key也是任意类型,但是在warp方法中,只传进了此方法中的value,再结合hint要利用Myexpect类的方法,猜测要将value赋值为Myexpect对象。
国赛ciscn2024-WP-re2-androidso-re(unidbg模拟执行Native层方法)
05-21
国赛ciscn2024-WP-re2-androidso_re(unidbg模拟执行Native层方法)
国赛ciscn2024-WP-re2-androidso_re(unidbg模拟执行Native层方法)
一个啥也不会的小菜鸡!
05-21 461
打开apk,输入flag{aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa}居然会闪退!发现是DES解密,主要是获取native层的函数返回值!发现是JNI方法的NewStingUTF存在编码错误问题,既然运行不了那么就直接去,模拟执行这两个函数就好了!github有个项目;unidbg,用来模拟执行。得到KEY和IV就可以开始des解密了!修复失败,搞不了一点,还是太菜了QAQ。看看adb shell logcat。
第十七届全国大学生信息安全竞赛创新实践能力赛初赛(CISCN-2024部分WP
Welcome To Myon'Blog !
05-20 1965
给的 e 其实就是 d,只是结果是移位后的输出,n 很大无法分解,但 kk 与 rr 很小,由 rr= e//n 即可推出 rr 和 kk,又由 e + x + kk*p + rr*((p+1)* (q+1))+ 1 = 65537,将 × 设为 0 和 2^200 然后联立求解一元二次方程,就能求出 p, q 的上下界,这样就有p 和q 的高位,枚举未知位尝试coppersmith 直到分解出结果,最后代入求 e 和 d,进而求得flag。
2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP
weixin_62467741的博客
05-22 836
最开始得到的是一个内存文件dmp和一个exe,猜测dmp对应的是找浏览器记录,exe对应的是c2地址,exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png,png最上面有数据块,直接stegsolve过滤r全通道,savebin,得到类似于zip的文件。在ppt/embeddings文件夹下的docx中,从PPT打开的话就是第二章左上角那块黑色的,双击就行,打开后全选,改字体大小,改颜色,凯撒偏移量10解密,然后base64解密,得到part2。然后base64解码。
CISCN2024 初赛
247533的博客
05-21 976
人人讲安全 个个会应急
CISCN2024-re3-rust-baby(Frida多字节程序插桩爆破)
05-21
CISCN2024-re3-rust_baby(Frida多字节程序插桩爆破)
frida-server-15.2.2-android-x86_64.xz
08-04
frida-server手机版安装压缩包,x86 64位架构
strongR-frida-android:适用于Android的反检测版本的frida-server
03-18
strongR-frida-android 按照上游进行自动修补,并为Android构建反检测版本的frida-server。 跟随FRIDA上游自动修补程序,并为Android构建反检测版本的frida-server。 提示:不要分叉该存储库 补丁 模块 姓名 frida-...
frida-server-12.8.10-android-x86_64
10-14
frida-server-12.8.10-android-x86_64 x86_64架构 传入模拟器可以使用
frida-scripts:我的Frida.re工具脚本的集合,以促进移动应用程序的反向工程
02-02
raptor_frida_android_trace.js 。 适用于Android的全功能Java和模块跟踪器。 raptor_frida_android_enum.js 。 枚举Java类和方法的函数集合。 android-snippets / raptor_frida_android _ *。js 。 适用于Android...
[2024CISCN]国赛初赛WEB题目复现_2024国赛初赛unzip题目复现
qd520_1314的博客
04-14 730
一般来说,需要通过报错来获取信息,但是不管对name怎么fuzz,由于传参限制都无法报错。看了其他师傅的wp后才发现,可以使得name参数为空来报错。。。。报错信息中,有用的除了一些路径外,值得注意的是这几行无法ssti,也没什么用。又坐牢了一段时间,无奈之下又只能瞅一瞅师傅们的wp,好家伙,原来是空的,逗人玩呢。那就修改一下Admin的路由,用来获取admin的session拿着伪造的session去访问靶机的admin路由,提示我们用ssti,那就ssti。
ISCC 2024 部分wp
最新发布
焦虑的焦虑
05-25 5019
ISCC 2024 部分wp
第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛初赛 Web方向 部分题解WP
Jay17的博客
05-19 3724
第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛初赛 Web方向 部分题解WP
CISCN2024 WP 部分
m0_61926940的博客
05-20 921
libc: 2.23golang编写的一道栈题,有一个无限制的输入,通过gdb动调找出偏移量,覆盖ret地址为main_main2,开启一个bash传统菜单堆题,libc2.23,UAF漏洞,有一次free和一次show,我们又要泄露libc又要打一次UAF,明显一次free是不够的,所以选择打一次house of orange(呼应上了),然后UAF打malloc_hook​argv = f''​pause()​cmd(1)​cmd(2)​cmd(3)​cmd(4)​。
第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛初赛 Re方向 ——whereThel1b
Nike_name的博客
05-20 1310
第一次见到cython
170709 逆向-CISCN总结
whklhhhh的博客
07-10 1070
1625-5 王子昂 总结《2017年7月9日》 【连续第280天总结】  A. CISCN B. 一整天都投入进去还是非常充实的,虽然几个同学一起想MISC却一道都没做出来,这种经历却是特别有趣 MISC方面大家的积攒都不够,开脑洞基本上能过一些小关,但是面对真正的题目就寸步难行了 这既是成长的过程也是提醒我们抓紧时间锻炼各方面知识 个人的逆向方面比较受挫。今年的逆向不同以往,大量
frida-server-12.3.6-android-x86文件
01-23
frida-server-12.3.6-android-x86文件是用于在Android x86平台上运行Frida工具的文件。Frida是一个功能强大的开发者工具,可用于动态分析和修改应用程序,并在设备上进行代码注入。 该文件是Frida的服务器端组件,在设备上运行时,它与Frida客户端进行通信,允许用户在设备上执行各种操作。通过运行Frida服务器,用户可以通过网络远程连接设备,并在设备上执行代码注入、追踪函数调用、修改应用程序行为等操作。 安装和使用Frida-server-12.3.6-android-x86文件需要一些步骤。首先,需要将文件下载到Android x86设备上。然后,在设备上通过命令行运行该文件,启动Frida服务器。启动后,可以通过Frida客户端工具连接到服务器,并执行所需的操作。 Frida-server文件的版本号为12.3.6,这表明它是Frida工具的特定版本。通过使用该版本的文件,用户可以确保与其他Frida组件和工具的兼容性。 总之,Frida-server-12.3.6-android-x86文件是在Android x86平台上运行Frida工具的服务器组件。通过它,用户可以动态地分析和修改应用程序,并在设备上进行代码注入操作。这个文件需要安装和配置,以便用户可以通过Frida客户端与服务器进行通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值