CTF - 攻防世界 - mobile新手 - app2

最新推荐文章于 2024-08-21 13:56:47 发布
最新推荐文章于 2024-08-21 13:56:47 发布
阅读量1.3k 收藏
点赞数
分类专栏: CTF 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sally717/article/details/117468877
版权

App2 下载后还是拖到模拟器安装:

反编译一下,几个重点关注的文件:

翻看了一圈儿,大概是这样纸的:

1.接收输入参数,传到SecondActivity:

 2.SecondActivity中有一个判断,对接受到的输入参数进行某种操作(doRawData)后等于VEIzd/V2UPYNdn/bxH3Xig==

 3.doRawData在Encryto这个类中:

但是反编译代码里面找不到doRawData这个函数的具体实现,网上搜了下,说需要把so文件拖到IDA里面去看。

好吧,IDA咱还是勉强用过的,在IDA中找到doRawData函数的代码(IDA的基本使用可参考:https://www.cnblogs.com/sallyzhang/p/13328333.html

然后,就没有然后了。。。看不懂这段代码在干啥子。

没想到才到初级选手的round2就跪了,所以今年的CTF报名没我是有原因的~

    

看了一下网上的提示,是AES加密,解密结果:

然鹅,输入flag并木有成功,我。。。。又网搜了一把,说是要解密FileDataActivity里面的密文:9YuQ2dk8CSaCe7DTAmaqAA==

再次解密,成功。又翻了一下反编译的代码,并木有发现哪里有调用FileDataActivity的逻辑>_<。。所以SecondActivity中的密文是用来混淆视听的?还是为了教育新手要多翻翻源码~真的是用心良苦呢~

 

本文与本人博客园的博客是同步的,博客园地址:https://www.cnblogs.com/sallyzhang/p/14738768.html

Sally__Zhang
关注
专栏目录
一些简单的Mobile CTF练习
AlickXc的专栏
09-09 1万+
资源链接https://download.csdn.net/download/alickxc/11705813 1.CISCN-2018 Illusion: 首先查看关键点: 可以看出app通过对用户输入数据加密并比较的方式判断flag准确性,再查看so实现, 首先JNI_Onload(): 获得加密函数地址: 这里函数翻译有误因为函数调推测并非C语言实现有着工整的开场...
CTFHub-Web--信息泄露
m0_69003772的博客
04-23 1494
CTF简介以及信息泄露下题目解题过程 文章目录 前言 一、基础知识 1.CTF简介 2.竞赛模式 2.1.理论知识 2.2.Jeopardy-解题 2.3.AwD-攻防模式 2.4.AWP-攻防增强 2.5.RHG-自动化[ AI自动化] 2.6RW-真实世界 2.7.KoH-抢占山头 2.8.Mix[混合] 3.比赛形式 3.1.线上 3.2.线下 4.题目类型 4.1.Web 4.2.Pwn 4.3.Reverse 4.4.C.
CTF - 攻防世界 - mobile新手 - app1
菜鸟的测试世界
05-07 2303
今天去CTF瞄了一眼发现有mobile的题,就拿来学习下,CTF的入门题目对新手很有帮助的~ 下载的附件是一个apk文件,开启模拟器,把apk拖进去安装。咱有两个模拟器,配置不一样,第一个安装的时候报错了,然后尝试第二个,安装成功(虽然菜鸟本人也不知道为啥,反正多尝试总没错~) 看上去是要输入正确的key才能通关,把之前学过的手段全都安排一遍哈哈哈(其实一共也没会几种 >_<!!!) 先解压看下,貌似没有加密或者混淆之类的,直接反编译 反编译拿到源码,首先得找到vers.
CTF比赛必备常用工具
最新发布
qq_53058639的博客
08-21 1067
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中, REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
CTF - 攻防世界 - mobile新手 - app3
菜鸟的测试世界
06-07 1234
下载android-backup-tookit:https://sourceforge.net/projects/adbextractor/files/latest/download 执行下面的命令转换ab文件为jar文件: java -jar abe.jar unpack app3.ab app3.jar jar包解压后base.apk,Demo.db,Encryto.db三个文件,盲猜应该与数据库,解密相关。 apk拖到模拟器安装和运行: 先上反编译,大概翻了一下,貌似在往数据库..
CTF-Mobile-Tutorial:我写的一些Mobile CTF题解
03-28
CTF移动 作者:wnagzihxa1n邮件: 作为一个CTF弱鸡,每次比赛除了湿敷们吊打,就是被湿敷们吊打 好在比赛的时候收集了过多的过渡,痛定思痛,努力学习,走向以后被湿敷们轻点吊打
某次 ctf Mobile 0x01 解题过程
qq_42077227的博客
08-19 739
ctf mobile 0x01
XCTF-Mobile新手练习区-08-app3解题记录与分析
资源摘要信息:"【XCTF-Mobile新手练习区-08-app3" 知识点一:CTF竞赛介绍 CTF(Capture The Flag)中文意为“夺旗赛”,是一种网络安全竞赛。参与者需要通过各种方式攻破主办方设置的关卡,夺取出题者事先设置好...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1369
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
ctf赛事了解
belife9999的博客
05-16 3692
国内赛事: XCTF赛事:国内最权威最高技术水平与最大影响力的ctf赛事平台 强网杯:最权威的国家级安全比赛,中央网信办网络安全协调局指导 红帽杯:广东省公安厅、广东省计算机网络安全协会举办 AliCTF:阿里安全技术竞赛,有阿里巴巴公司组织 TCTF:腾讯信息安全争霸赛,由腾讯安全联合实验室主办 BCTF:百度全国网络安全技术对抗赛,由百度安全主办 WCTF世界黑客大师赛,油360Vulan团队组织 HCTF:由杭州电子科技大学信息安全协会主办的CTF ISCC:全国大学生信息安全与对抗技术竞赛,由北理
CTF资源
镜湖
08-05 984
一 个人成长 此部分内容来自 TK 教主分享的腾讯玄武实验室内部例会 PPT 资料。 1 个人成长 确立个人方向,结合工作内容,找出对应短板: 该领域主要专家们的工作是否都了解? 相关网络协议、文件格式是否熟悉? 相关的技术和主要工具是否看过、用过? 阅读只是学习过程的起点,不能止于阅读: 工具的每个参数每个菜单都要看、要试。 学习网络协议要实际抓包分析,学习文件格式要读代码实现。 学习老漏洞一定要调试,搞懂别人代码每一个字节的意义,之后要完全自己重写一个 Exploit。 细节、细节、细节,刨根问
CTF网络安全大赛工具包集合
12-21
针对网络安全大赛的部分方向所需要的工具的集合
网络安全业务竞赛
11-13
竞赛题目#include <cstdio> #include <cstring> #include <ctype.h> #include <cstdlib> #include <cmath> #include <climits> #include <ctime> #include <iostream> #include <algorithm> #include <deque> #include <vector> #include <queue> #include <string> #include <map> #include <stack> #include <set> #include <numeric> #include <sstream> #include <iomanip> #include <limits> #define CLR(a) memset(a, 0, sizeof(a)) using namespace std; typedef long long ll; typedef long double ld; typedef unsigned long long ull; typedef pair <int, int> pii; typedef pair <ll, ll> pll; typedef pair<string, int> psi; typedef pair<string, string> pss; const double PI = 3.14159265358979323846264338327; const double E = exp(1); const double eps = 1e-6; const int INF = 0x3f3f3f3f; const int maxn = 1e6 + 5; const int MOD = 1e9 + 7; int main() { int n; cin >> n; vector <int> v; int num; for (int i = 0; i < n; i++) { scanf("%d", &num;); v.push_back(num); } cin >> n; for (int i = 0; i < n; i++) { scanf("%d", &num;); v.erase(v.begin() + num - 1); } vector <int>::iterator it; for (it = v.begin(); it != v.end(); it++) { if (it != v.begin()) printf(" "); cout << *it; } cout << endl; } --------------------- 作者:Dup4 来源:CSDN 原文:https://blog.csdn.net/dup4plz/article/details/79666083 权声明:本文为博主原创文章,转载请附上博文链接!#include <cstdio> #include <cstring> #include <ctype.h> #include <cstdlib> #include <cmath> #include <climits> #include <ctime> #include <iostream> #include <algorithm> #include <deque> #include <vector> #include <queue> #include <string> #include <map> #include <stack> #include <set> #include <numeric> #include <sstream> #include <iomanip> #include <limits> #define CLR(a) memset(a, 0, sizeof(a)) using namespace std; typedef long long ll; typedef long double ld; typedef unsigned long long ull; typedef pair <int, int> pii; typedef pair <ll, ll> pll; typedef pair<string, int> psi; typedef pair<string, string> pss; const double PI = 3.14159265358979323846264338327; const double E = exp(1); const double eps = 1e-6; const int INF = 0x3f3f3f3f; const int maxn = 1e6 + 5; const int MOD = 1e9 + 7; int main() { int n; cin >> n; vector <int> v; int num; for (int i = 0; i < n; i++) { scanf("%d", &num;); v.push_back(num); } cin >> n; for (int i = 0; i < n; i++) { scanf("%d", &num;); v.erase(v.begin() + num - 1); } vector <int>::iterator it; for (it = v.begin(); it != v.end(); it++) { if (it != v.begin()) printf(" "); cout << *it; } cout << endl; } --------------------- 作者:Dup4 来源:CSDN 原文:https://blog.csdn.net/dup4plz/article/details/79666083 权声明:本文为博主原创文章,转载请附上博文链接!
CTF 大赛专用工具
06-05
本工具不是本人专有,这个是我通过平常整理收集的一些专用且常用的工具
mobile1(gctf)
sinat_41380394的博客
08-21 1902
bugku中的安卓题。 重点部分,smali smali中的循环 隔位去字符 const/4 v4, 0x0 .local v4, "i":I :goto_1 invoke-virtual {v3}, Ljava/lang/String;-&gt;length()I move-result v8 if-ge v4, v8, :cond_2...
MobileCTF项目简单easyso算法还原
热门推荐
大数据安全技术学习
11-17 1万+
作为一个菜鸡,很久没有搞so分析了,碰巧看到r0ysue大佬发的朋友圈,看到easy这个字样,寻思着可以康康,整体而言,没有加固,so中混淆手段较为温和(基本没有),用frida可以解题很友好(看源码死磕很恼火)。
CTF apk 安卓逆向
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
11-01 5687
apk界面如下 1、使用jeb对apk进行分析,找到manifest配置文件(即应用清单,中包含了APP的配置信息,系统需要根据里面的内容运行APP的代码,显示界面),从中找到初始启动类com.crackme.comingsoon.WebviewActivity 2、WebviewActivity中注册了backdoor和helloworld两个函数,并加载了newVersionLogin.html进行渲染。 3、newVersionLogin.html中可以访问两个函数,js的login函数,和后台
ISCC常态化训练 mobileEZ CTF-mobile
m0_72904009的博客
06-07 541
ISCC常态化训练 mobileEZ CTF-mobile
BugkuCTF~Mobile~WriteUp
weixin_30387799的博客
03-09 710
最近,开始记录一篇关于 Android 逆向分析的 WriteUp 方便有需要的人学习,也欢迎大家相互交流, 发现不 一样的世界。 一、signin 考点:反编译、静态分析 Topic Link:https://ctf.bugku.com/files/109fa055c682e810684427c123a0833b/sign_in.zip signin 软件介绍: 1....
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值