CTF - 攻防世界 - mobile新手 - app2

最新推荐文章于 2024-05-14 15:17:44 发布
最新推荐文章于 2024-05-14 15:17:44 发布
阅读量1.3k 收藏
点赞数
分类专栏: CTF 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sally717/article/details/117468877
版权

App2 下载后还是拖到模拟器安装:

反编译一下,几个重点关注的文件:

翻看了一圈儿,大概是这样纸的:

1.接收输入参数,传到SecondActivity:

 2.SecondActivity中有一个判断,对接受到的输入参数进行某种操作(doRawData)后等于VEIzd/V2UPYNdn/bxH3Xig==

 3.doRawData在Encryto这个类中:

但是反编译代码里面找不到doRawData这个函数的具体实现,网上搜了下,说需要把so文件拖到IDA里面去看。

好吧,IDA咱还是勉强用过的,在IDA中找到doRawData函数的代码(IDA的基本使用可参考:https://www.cnblogs.com/sallyzhang/p/13328333.html

然后,就没有然后了。。。看不懂这段代码在干啥子。

没想到才到初级选手的round2就跪了,所以今年的CTF报名没我是有原因的~

    

看了一下网上的提示,是AES加密,解密结果:

然鹅,输入flag并木有成功,我。。。。又网搜了一把,说是要解密FileDataActivity里面的密文:9YuQ2dk8CSaCe7DTAmaqAA==

再次解密,成功。又翻了一下反编译的代码,并木有发现哪里有调用FileDataActivity的逻辑>_<。。所以SecondActivity中的密文是用来混淆视听的?还是为了教育新手要多翻翻源码~真的是用心良苦呢~

 

本文与本人博客园的博客是同步的,博客园地址:https://www.cnblogs.com/sallyzhang/p/14738768.html

Sally__Zhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓逆向|菜鸟的FRIDA学习笔记:如何使用FRIDA调用so文件里的函数
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-15 6790
本文致谢本篇文章学到的内容来自且完全来自r0ysue的知识星球,推荐一下(这个男人啥都会,还能陪你在线撩骚)。样本及详细分析思路在某大佬的这篇文章里:https://www.52poji...
【安卓逆向】CTF实战分析
YJJYXM的博客
12-24 1063
安卓逆向学习交流群:692903341 既然这篇文章提到了CTF 我就先来科普一下 What is CTF??? 赛事介绍: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们...
2024年最全CTF的一些常用工具_ctf工具包,直面秋招
最新发布
2401_84910899的博客
05-14 1118
foremost对我个人来说,感觉是和上面的binwalk差不多的都是分离文件编译文件,但是foremost又比binwalk好很多功能啊,速度啊之类的都是胜过binwalk我一般都会把这两款都下载上binwalk分不了的就去foremost试试也是我的一个习惯,如果你是一个存储空间的极致压缩能手那直接下载foremost就行了。反序列化的考点也是比较刁钻的,很多人都是比较头疼的,包括现在的我见到反序列见到代码就恶心,这边列几个文章都是我学习反序列感觉比较好的文章!
ctf apk 总结与回顾
weixin_42100211的博客
08-16 374
ctf mobile方向的一点点心得。
CTF比赛必备常用工具(附下载方式)
Karka_的博客
08-23 4504
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中,REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
[ CTF ]天机战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(初赛)
ZXW_NUDT的博客
07-11 3516
第六届”蓝帽杯“全国大学生网络安全技能大赛
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-2017-release:BSidesSF CTF 2017
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
CTF网络安全大赛工具包集合
12-21
针对网络安全大赛的部分方向所需要的工具的集合
CTF安全工具包大全!
12-11
CTF工具合集包括了CTF相关的各种工具,包括逆向,解密,WEB,密码学等等,相当有用,可以方便地准备各种CTF比赛。使用指南:解压后打开Rolan.exe即可。温馨提示:建议关闭防火墙和安全扫描,原因你懂的。
CTF逆向(reverse)入门脑图
10-25
CTF逆向(reverse)入门脑图,xmind格式文件。Reverse即逆向工程,题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。 仅供CTF竞赛参考使用,请不要做违法乱纪的事情
某次 ctf Mobile 0x01 解题过程
qq_42077227的博客
08-19 527
ctf mobile 0x01
手机CTF 是什么样的体验
有价值炮灰
11-22 1904
尝试不用电脑,只拿一台iPhone去参加看雪CTF2020 (娱乐向) 用手机CTF (iSH + radare2) 背景 最近 iSH 在 Apple Store 上架了,之前一直抢不到 testflight 的配额,难得强管控的苹果会让这种 Terminal 类的应用发布,所以第一时间下载来玩玩。测试之后发现可以当做是一个简单的 Linux 虚拟机,至少常用的命令都没什么问题,正
MobileCTF项目简单easyso算法还原
热门推荐
大数据安全技术学习
11-17 1万+
作为一个菜鸡,很久没有搞so分析了,碰巧看到r0ysue大佬发的朋友圈,看到easy这个字样,寻思着可以康康,整体而言,没有加固,so中混淆手段较为温和(基本没有),用frida可以解题很友好(看源码死磕很恼火)。
CTF - 攻防世界 - mobile新手 - app3
菜鸟的测试世界
06-07 1114
下载android-backup-tookit:https://sourceforge.net/projects/adbextractor/files/latest/download 执行下面的命令转换ab文件为jar文件: java -jar abe.jar unpack app3.ab app3.jar jar包解压后base.apk,Demo.db,Encryto.db三个文件,盲猜应该与数据库,解密相关。 apk拖到模拟器安装和运行: 先上反编译,大概翻了一下,貌似在往数据库..
看雪3万课程笔记-FRIDA高级API实用方法:主动调用so函数
kfyzjd2008的博客
05-17 2130
一、简介: 本节为延伸内容, 本节使用APP攻防世界APP漏洞第二题.apk 二、实战: 1、jadx-gui 打开,查看 MainActivity 定位关键代码: 来到SecondActivity类 导出窗口直接搜索doRawData,.mytext 代码无法F5 查看伪代码,选中代码下拉后按P 解析成函数。 箭头处为秘钥, 此时我们 根据java层的if对比"VEIzd/V2UPYNdn/bxH3Xig==" 进行解密得出:aimagetencent 但这并不是我..
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值