2015阿里&看雪移动安全挑战赛-第二题

最新推荐文章于 2024-05-11 10:08:54 发布
最新推荐文章于 2024-05-11 10:08:54 发布
阅读量3.2k 收藏 5
点赞数 3
分类专栏: 安卓逆向 文章标签: 安卓逆向 移动安全 移动安全挑战赛 writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scoronepion/article/details/51340137
版权

2015阿里&看雪移动安全挑战赛-第二题
题目传送门:AliCrackme
网上已经有很多writeup,我也是按照乌云上的2015移动安全挑战赛(阿里&看雪主办)全程回顾的基本思路来想的。但作为一个新手,就算照着教程来做也会踩到很多坑。所以我想把自己解题过程中遇到的一些细节问题跟大家分享一下。
文章中提到的环境配置是按照看雪论坛非虫的《Android软件安全与逆向分析》配置的,这本书很棒,讲的很详细。在这里安利一波。

0x01

app安装完后长这样:
主界面
输入错误的密码会提示校验码错误。我们先看看这次日志会不会有什么输出。
LogCat
可以发现,每次输入密码提交后,日志总会输出 SecurityCheck Started...,结合上一题的经历,我们能够从代码中发现日志输出语句。
那么我们就来看看从jar文件中能够发现什么。

0x02

jar
从代码中可以看到,校验成功与否是由securityCheck()

最低0.47元/天 解锁文章
scoronepion
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2015移动安全挑战赛前2writeup
ling
01-27 2078
看雪移动安全挑战赛打了个酱油,只做出前2,第三体加固了就不知道怎么弄了。 Alicrack1: 1 查看代码: Str2=table= Str3=pw Str1=input Str4=bytesToAliSmsCode(str2, str1)   table 和pw可以由logcat得到。   写了个java代码解密: import java.io.U
ali安全挑战赛移动安全-2015-2016
02-18
阿里移动安全挑战赛android赛 2015第一届 2016第二
MSC-2015移动安全挑战赛 第二
weixin_33736832的博客
01-29 169
apk和so都没有加壳,但是so里面的一个关键函数jolin是加密的,在so加载时解密。并且so加入了反调试技术。由于我学习安卓的so调试是从比赛前3天开始的,也就会一个最最基本的。无法对抗反调试,一度想放弃这。不过后来发现,这个反调试要到JNI_Onload函数退出后才触发。所以在JNI_Onload入口处下断点,添加watch,在4450这个地址(就是wojiush...
2024年最新CTF之CTF(夺旗赛)介绍_ctf比赛(2),10天拿到阿里网络安全岗offer
最新发布
2401_84264583的博客
05-11 375
国别赛事内容国内XCTF:国内最早发起的网络安全联赛品牌。WCTF:世界黑客大师赛吸引了全球顶尖黑客参与比赛,赛事水平在国内各项赛事中处于前列。强网杯:面向高等院校和国内信息安全企业的一次国家级网络安全赛事。GeekPwn极棒:奖励力度最大的CTF比赛,赛事奖金池达500万元,单项赛事奖金高达80万元。国外| *DEFCONCTF:CTF赛事中的“世界杯这也是CTF比赛体系得发源地。UCSBiCTF。
2015阿里移动安全挑战赛第二AliCrackme_2之frida解法
iris的博客
05-03 926
关键函数在securityCheck:放在了native层 之前的解法就是先nop掉JNI_OnLoad中的反调试,然后再动态调试到securitycheck方法中获取相关寄存器的值。这里学习了frida之后,看看是否能有更加简洁的方式: 将输入的字符串与v7进行比较,v7又来自于v6,v6的值等于off_628c; 当然,我们已经知道这是错误的值,在动态运行的过程中会对其进行处理,但是我们...
阿里移动安全挑战赛第二研究小结
weixin_30795127的博客
07-30 151
1、取巧的方法 因为不太会看汇编指令,所以看了别人的解思路后,自己想了个取巧的方法。o(╯□╰)o 之前学习的过程中学会了不少指令,例如strings,列出文件中所有字符串。突然想起来可以导出apk运行时so文件的内存(其实也是现学的- -'), 验证了一次后被比较的字符串就存放在内存中了,于是使用dd命令将内容导入SD卡: root@android:/ # dd if=/proc/...
2015移动安全挑战赛阿里&看雪主办)全程回顾
weixin_33811961的博客
03-08 433
GoSSIP_SJTU · 2015/04/01 9:26Author: 上海交通大学密码与计算机安全实验室软件安全小组GoSSIP第一0x1 分析目下载本次比赛的第一个目是一个APK文件,安装后,需要用户输入特定的密码,输入正确会显示破解成功。该目的APK文件没有太多的保护,可以直接使用各种分析工具(如jeb等)反编译得到Java代码。获得正确注册码的代码逻辑为: 1. 从logo.pn...
Sun的逆向之路(三)——暴破15年阿里移动安全挑战赛第一
Sunwish的博客
12-29 807
暴破15年阿里移动安全挑战赛第一
阿里APK逆向15年第二
qq_27011361的博客
07-24 339
第一步:安装apk 第二步:运行apk 提示:验证码校验失败 第三步:反编译apk 你会发现直接搜索验证码校验失败 是什么都搜索不到的,需要转成unicode编码搜索。 发现敏感信息定位于MainActivity类中,我们用jd-gui工具查看发现方法securityCheck检验密码,但是在native层。 第四部:用IDA反编译crackme.so 发现sec...
阿里移动安全看雪主办移动安全的第2AliCrackme-2.apk
10-12
阿里移动安全看雪主办移动安全的第2
看雪2017安全开发者峰会ppt-6.移动app灰色产业案例分析与防范
08-30
看雪2017安全开发者峰会ppt-6.移动app灰色产业案例分析与防范
AliCrackme_2的分析
07-14
提供阿里移动安全看雪主办移动安全的第2- AliCrackme_2的分析文档和apk,需要的朋友可以下载。
网络安全,面试-含答案.pdf
02-06
- 有许多在线平台和社区可以帮助学习网络安全,如Seebug、FreeBuf、吾爱破解、看雪论坛阿里安全、PentesterLab、阿里云先知社区和四叶草安全等。 - 漏洞报告平台如奇安信补天、CNVD、教育漏洞平台、漏洞银行、...
看雪2017安全开发者峰会ppt-2.浅析WEB安全编程
08-30
看雪2017安全开发者峰会ppt-2.浅析WEB安全编程........
看雪2017安全开发者峰会ppt-5.智能化的安全 设备&应用&ICS;
08-30
看雪2017安全开发者峰会ppt-5.智能化的安全 设备&应用&ICS;
2015阿里&看雪移动安全挑战赛-第一
scoronepion的博客
05-07 1831
2015阿里&看雪移动安全挑战赛-第一
根据阿里巴巴编码规约(泰山版)整理的错误码
Admin_ke的博客
06-24 3445
根据阿里巴巴编码规约(泰山版)整理的错误码 /** * 阿里巴巴Java编码规范,错误码 */ public enum ErrorCodeEnum { SUCCESS("00000", "成功"), USER_ERROR_0001("A0001", "用户端错误"), USER_ERROR_A0100("A0100", "用户注册错误"), USER_ERROR_A0101("A0101", "用户未同意隐私协议"), USER_ERROR_A0102("A01
android安全机制的初级探究总结
cssufo的专栏
12-18 1217
目前市场上提到了很多关于android安全的问,那么提到android的安全,我决定从以下几个方面初级探究一下: (本文在撰写的过程中调研了多篇论文和博客,感谢作者们的辛勤劳动,感谢他们在互联网时代的自由和共享精神) (1)android的安全性分析: android本身有自己的一套安全机制:下面我们将对图中的知识进行解释       沙箱:每个程序有自己的一个uid,这样在un
整理android逆向工程师技能表 by非虫from看雪
犀牛划水
08-20 3839
1.       密码学基础 1.1.    古典密码学基础 1.2.    现代密码学基础 1.2.1.      哈希算法 1.2.2.      非对称加密与解密 1.2.3.      椭圆曲线 1.2.4.      数字签名 1.2.5.      数据分组与校验 1.3.    密码攻击理论 1.4.    密码学库的识别 2.       网络基础 2.1.
面向业务守护的移动安全对抗实践.pdf
01-07
除了移动应用广告安全对抗,会议还关注了其他领域的安全挑战。比如,一些专家分享了他们在金融安全领域的经验,强调逻辑为王的原则。他们认为,金融安全不仅仅是技术层面的问,更是逻辑层面的挑战。通过细致的逻辑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值