XCTF_MOBILE7_easyjni

最新推荐文章于 2023-12-12 09:50:48 发布
最新推荐文章于 2023-12-12 09:50:48 发布
阅读量508 收藏 1
点赞数
分类专栏: CTF 文章标签: android 逆向 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadow20080578/article/details/122228455
版权

初识

附件为一个apk,先拖到模拟器看看,结果报错:

百度一下错误信息,原因是:安装的APP中使用了与当前CPU架构不一致的native libraries。

我的CPU是Intel的,为了模拟器运行速度快,我创建的模拟器使用的是x86指令集:

 而一般手机都是ARM指令集的,所以我重新创建了一个ARM指令集的模拟器:

在这个新模拟器下,apk就能成功安装了。

apk的主界面如下:

 随便输入一个字符串,点击CHECK,结果为:

 直接运行程序,我们能获得的信息就这么多,下面我们还是反编译看看。

反编译

将apk重命名为zip并解压。

使用dex2jar对解压得到的dex文件进行反编译:

 使用jd-gui打开反编译得到的jar。

先来到MainActibity类,在构造函数onCreate中我们可以看到注册按下按钮的响应函数的代码:

findViewById(2131427446).setOnClickListener(new View.OnClickListener(this, (Context)this) 
{
        public void onClick(View param1View) 
        {
            EditText editText = (EditText)((MainActivity)this.a).findViewById(2131427445);
            if (MainActivity.a(this.b, editText.getText().toString())) 
            {
                Toast.makeText(this.a, "You are right!", 1).show();
                return;
            } 
            Toast.makeText(this.a, "You are wrong! Bye~", 1).show();
         }
}

按钮响应函数核心就是一个“if”判断,两个分支分别弹框“You are right!”和“You are wrong! Bye~”。我们在上面输入6个1时,点击“CHECK”,就弹框显示了“You are wrong! Bye~”。

所以正确的输入应该让

MainActivity.a(this.b, editText.getText().toString())

函数返回1。

MainActivity.a函数代码很简单:

private boolean a(String paramString) 
{
    try 
    {
        return ncheck((new a()).a(paramString.getBytes()));
    }catch (Exception exception) 
    {
        return false;
    } 
}

就是返回ncheck((new a()).a(paramString.getBytes()));函数的返回值。

MainActivity类中ncheck的声明为:

private native boolean ncheck(String paramString);

可以看出这是个native函数,也和这题的题目(easyjni)吻合,调用native函数用的就是jni技术。

但这里调用ncheck函数的参数不是我们输入的字符串,而是类a的a函数的返回值。我们输入的字符串是类a的a函数的参数。

我们下面分别看些类a的a函数和ncheck函数。

ncheck

在zip的解压目录下的lib目录下我们能看到库文件:libnative.so。ncheck函数就在这个文件中。

我们用IDA加载这个文件,在左侧的函数列表中搜索ncheck,找到该函数:

bool __fastcall Java_com_a_easyjni_MainActivity_ncheck(int a1, int a2, int a3)
{
  const char *v5; // r6
  int i; // r0
  char *v7; // r2
  char v8; // r1
  int v9; // r0
  bool v10; // cc
  _BOOL4 result; // r0
  char v12[32]; // [sp+3h] [bp-35h] BYREF
  char v13; // [sp+23h] [bp-15h]

  v5 = (const char *)(*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)a1 + 676))(a1, a3, 0);
  if ( strlen(v5) == 32 )
  {
    for ( i = 0; i != 16; ++i )                 // 前16个字符和后16个字符颠倒顺序
    {
      v7 = &v12[i];
      v12[i] = v5[i + 16];
      v8 = v5[i];
      v7[16] = v8;
    }
    (*(void (__fastcall **)(int, int, const char *))(*(_DWORD *)a1 + 680))(a1, a3, v5);
    v9 = 0;
    do
    {
      v10 = v9 < 30;
      v13 = v12[v9];
      v12[v9] = v12[v9 + 1];
      v12[v9 + 1] = v13;
      v9 += 2;
    }
    while ( v10 );                              // 两个字符为一组,颠倒顺序
    result = memcmp(v12, "MbT3sQgX039i3g==AQOoMQFPskB1Bsc7", 0x20u) == 0;
  }
  else
  {
    (*(void (__fastcall **)(int, int, const char *))(*(_DWORD *)a1 + 680))(a1, a3, v5);
    result = 0;
  }
  return result;
}

这里的v5就是传进来的一个字节串,在strlen(v5) == 32这条语句中我们可以知道,这个输入的字节串长度为32。

该函数最核心的就是里面的两个循环:一个for,一个do-while。

for循环的功能是将前16个字节和后16个字节颠倒顺序,也就是:

        AAAAAAAAAAAAAAAABBBBBBBBBBBBBBBB

        变为:

        BBBBBBBBBBBBBBBBAAAAAAAAAAAAAAAA

do-while循环将32个字节每两个为一组,前后颠倒顺序,也就是:

        ABABABABABABABABABABABABABABABAB

        变为:

        BABABABABABABABABABABABABABABABA

最后比较变形后的字节串是否为:"MbT3sQgX039i3g==AQOoMQFPskB1Bsc7"。

这里我就懒得写程序了,因为变形很简单。我们直接以结果字符串"MbT3sQgX039i3g==AQOoMQFPskB1Bsc7"倒退正确的输入。

首先是do-while循环,要得到输出"MbT3sQgX039i3g==AQOoMQFPskB1Bsc7",输入应该为“bM3TQsXg30i9g3==QAoOQMPFks1BsB7c”。

其次是for循环,要得到输出“bM3TQsXg30i9g3==QAoOQMPFks1BsB7c”,输入应该为“QAoOQMPFks1BsB7cbM3TQsXg30i9g3==”。

也就是ncheck函数的输入应该为“QAoOQMPFks1BsB7cbM3TQsXg30i9g3==”。

ncheck的参数来自类a的a函数的输出,我们接下来看看类a的a函数。

a:a()

类a在jar中,代码为:

public class a {
  private static final char[] a = new char[] { 
      'i', '5', 'j', 'L', 'W', '7', 'S', '0', 'G', 'X', 
      '6', 'u', 'f', '1', 'c', 'v', '3', 'n', 'y', '4', 
      'q', '8', 'e', 's', '2', 'Q', '+', 'b', 'd', 'k', 
      'Y', 'g', 'K', 'O', 'I', 'T', '/', 't', 'A', 'x', 
      'U', 'r', 'F', 'l', 'V', 'P', 'z', 'h', 'm', 'o', 
      'w', '9', 'B', 'H', 'C', 'M', 'D', 'p', 'E', 'a', 
      'J', 'R', 'Z', 'N' };
  
  public String a(byte[] paramArrayOfbyte) {
    StringBuilder stringBuilder = new StringBuilder();
    for (int i = 0; i <= paramArrayOfbyte.length - 1; i += 3) {
      byte[] arrayOfByte = new byte[4];
      int j = 0;
      byte b = 0;
      while (j <= 2) {
        if (i + j <= paramArrayOfbyte.length - 1) {
          arrayOfByte[j] = (byte)(b | (paramArrayOfbyte[i + j] & 0xFF) >>> j * 2 + 2);
          b = (byte)(((paramArrayOfbyte[i + j] & 0xFF) << (2 - j) * 2 + 2 & 0xFF) >>> 2);
        } else {
          arrayOfByte[j] = b;
          b = 64;
        } 
        j++;
      } 
      arrayOfByte[3] = b;
      for (j = 0; j <= 3; j++) {
        if (arrayOfByte[j] <= 63) {
          stringBuilder.append(a[arrayOfByte[j]]);
        } else {
          stringBuilder.append('=');
        } 
      } 
    } 
    return stringBuilder.toString();
  }
}

这和我们之前遇到过的题目XCTF_MOBILE5_easy-apk类似,就是一个修改了替换表的BASE64。我们还是使用之前文章中的BASE64解码程序,将其中的替换表改为本题目的:

#include <stdio.h>
#include <windows.h>


const char BASE_CODE[] = {
	'i', '5', 'j', 'L', 'W', '7', 'S', '0', 'G', 'X',
	  '6', 'u', 'f', '1', 'c', 'v', '3', 'n', 'y', '4',
	  'q', '8', 'e', 's', '2', 'Q', '+', 'b', 'd', 'k',
	  'Y', 'g', 'K', 'O', 'I', 'T', '/', 't', 'A', 'x',
	  'U', 'r', 'F', 'l', 'V', 'P', 'z', 'h', 'm', 'o',
	  'w', '9', 'B', 'H', 'C', 'M', 'D', 'p', 'E', 'a',
	  'J', 'R', 'Z', 'N' };

//子函数 - 取密文的索引
inline char GetCharIndex(char c) //内联函数可以省去函数调用过程,提速
{
	for (int i = 0; i < strlen(BASE_CODE); i++)
	{
		if (BASE_CODE[i] == c)
		{
			return i;
		}
	}
	return 0;
}

//解码,参数:结果,密文,密文长度
int fnBase64Decode(char *lpString, char *lpSrc, int sLen)   //解码函数
{
	static char lpCode[4];
	register int vLen = 0;
	if (sLen % 4)		//Base64编码长度必定是4的倍数,包括'='
	{
		lpString[0] = '\0';
		return -1;
	}
	while (sLen > 2)		//不足三个字符,忽略
	{
		lpCode[0] = GetCharIndex(lpSrc[0]);
		lpCode[1] = GetCharIndex(lpSrc[1]);
		lpCode[2] = GetCharIndex(lpSrc[2]);
		lpCode[3] = GetCharIndex(lpSrc[3]);

		*lpString++ = (lpCode[0] << 2) | (lpCode[1] >> 4);
		*lpString++ = (lpCode[1] << 4) | (lpCode[2] >> 2);
		*lpString++ = (lpCode[2] << 6) | (lpCode[3]);

		lpSrc += 4;
		sLen -= 4;
		vLen += 3;
	}
	return vLen;
}

int main()
{
	char es[] = "QAoOQMPFks1BsB7cbM3TQsXg30i9g3==";
	char ds[1000] = { 0x00 };
	fnBase64Decode(ds, es, strlen(es));
}

最终就得到结果了~~~

 

———————————————————————————————————————————

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF easy_go
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-15 830
运行下看下 go语言程序,参考网上的wp,go语言无符号逆向,网上的wp大多数使用IDA脚本进行符号还原;我是来下,不懂为啥脚本在我的IDA7.0下都不正常。然后。。我就睡觉了 第二天起床又搜索了下,发现另一位大哥的方法很好,记录下 我在IDA中Shift+F12搜素关键字符串,没找到。大佬用WinHex搜索,学习下 搜索到一个提示成功的字符串,我们拿它的文件偏移加一下IDA的基质,在IDA...
XCTF_MOBILE11_黑客精神
一个热爱逆向,喜爱学习、分享的猿。
02-21 1535
初见 附件为一个apk,先到模拟器中运行一下。 必须选择CPU为ARM的模拟器,因为app里面的native库只提供了ARM指令集的版本,没有提供x86指令集的版本: 模拟器启动后,将apk拖到模拟器中进行安装,安装好后,列表中app的图标是一个骚年: 运行app,又见一个骚年: 除了一个按钮啥也没有,点击这个按钮,弹出一个两按钮的对话框: 点击“不玩了”,app直接退出。 点击“注册”,进入新的界面。在新界面中,可以输入一串字符串,并有一个注册按钮。随便输入一个串,点击注..
攻防世界mobile新手区之easy jni 以及easy-apk的write up
克格莫
02-12 792
0x01上dex2jar: 得到关键代码: private boolean a(String paramString) { try { return ncheck((new a()).a(paramString.getBytes())); } catch (Exception exception) { return false; } } ...
Android逆向题解4-EasyJni
u013170888的博客
04-12 333
运行界面: 找flag,用户输入一串字符串点击cheek确认输入是否正确 代码分析 判断用户输入字符串是否正确 先用一个a方法加密之后传入native函数ncheck进行判定;也就是在Java层有一次加密,在native层还有一次加密; Java层的加密,类似一个换了码表的base64加密; package com.a.easyjni; public class a { priva...
攻防世界-Mobile-easyjni-最详细分析
LISTONE的个人博客
05-17 1160
攻防世界-Mobile-easyjni 本文首发于博主公众号LISTONE,欢迎关注哦! 这个题分析起来逻辑比上个easyjava要简单许多,做题速度快了很多。 首先还是用jeb打开,打开后首先看这个配置文件(对于这道比较简单的题来说,不看也可,不过为了培养一下好的习惯,看一下比较好)。 打开配置文件后,就找下面这个标签中的 name 属性。 然后我们点击那个 dex ,可以看到反编译之后的目录结构了,根据上面那个 name 属性,我们就可以找到主文件。 接下来还是分析 onCreate 方法。
ida逆向分析实例1
momodeconger的博客
03-27 887
下图列出了int Add(int,int);的逆向结果和源代码: 基础知识: lea 指令将操作数的地址复制给寄存器。 eax寄存器用于保存返回值。 __fastcall调用约定的作用是,参数中,从左到右的前四个字节的参数会被放到寄存器中(正常的参数都是放入栈中的),来加快函数调用。 rcx和rdx是64位的寄存器,对应ecx和edx。 rcx和rdx和__fastcall有关系,代表第一个和第二个参数。 疑问?retn 会将esp的值加4(相当于一个出栈操作),这个出栈的数据是啥? ...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF_A_应收管理标准功能培训.pptx
10-11
【XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_物料清单标准功能培训.pptx
10-11
在XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
XCTF_A_成本管理标准功能培训.pptx
09-25
### XCTF_A_成本管理标准功能培训知识点梳理 #### 一、成本管理概述 - **培训目的**: 介绍Oracle标准功能中的成本管理模块,帮助企业更好地理解成本管理的重要性,并掌握其核心功能。 - **成本管理作用**: 成本管理...
【XCTF-Mobile】新手练习区-05-easyjni.apk
08-05
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjni
XCTF_A_应付管理标准功能培训.pptx
10-11
XCTF_A_应付管理标准功能培训.pptx
IDA静态逆向工具详解二
深耕安全技术研究
02-22 1778
文章目录1.栈帧2.调用约定3.栈帧详解 1.栈帧 栈帧(stack frame)栈帧是在程序的运行时栈中分配的内存块,专门用于特定的函数调用。 栈帧(激活记录)调用函数的详细步骤 2.1.调用方将被调用函数所需的参数放入到该函数所采用的调用约定指定的位置。如果参数被放到运行时栈上,该操作可能导致程序的栈指针发生改变。 2.2.调用方将控制权转交给被调用的函数,这个过程常由X86 CALL或MIPS JAL等指令执行。然后,返回地址被保存到程序栈或CPU寄存器中。 2.3.如果有必要,被调用的函数会
IDA里so里Java接口函数
qq_34108752的博客
09-23 679
IDA中 so里导出函数 java接口函数 F5里 看C代码 这样的 v8 = (*(int (__fastcall **)(_JNIEnv *, int, int))(*(_DWORD *)v6 + 692))(v6, v5, v4); v9 = (*(int (__fastcall **)(_JNIEnv *, int, _DWORD))(*(_DWORD *)v6 + 736))(v6, v...
java jni 数据类型转换_JNI 数据类型转换 | 学步园
weixin_39992831的博客
02-16 211
有待实验:#include #include "com_test_Test.h"#include #include #include //获取字符串JNIEXPORT void JNICALL Java_com_test_Test_sayHello(JNIEnv * env, jobject obj,jstring s) {char * str = (char *) (*env)->GetS...
ctf apk 总结与回顾
weixin_42100211的博客
08-16 421
ctf mobile方向的一点点心得。
攻防世界Mobile新手入门题easyjni
m0_52122417的博客
07-06 756
攻防世界新手题mobile easyjni 解题过程
IDA PRO 07 - 反汇编基础01
最新发布
a5right的博客
12-12 977
本文主要讨论一下反汇编里面的函数调用与栈帧。内容将会比较偏理论,但是你看过《CSAPP》的话,也不难理解。有兴趣的可以去B站搜一下该内容,有个up讲的不错,图文并茂,总共百来个小时,花几个月时间看完还是很划得来的。
IDA-逆向分析-反汇编导航-双击导航-跳转地址-调用约定-局部变量-栈视图-搜索-工具教程
插件开发
10-25 2313
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值