XCTF_MOBILE8_Ph0en1x-100

于 2022-01-06 14:35:23 发布
阅读量1.6k 收藏
点赞数
分类专栏: CTF 文章标签: android 逆向 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadow20080578/article/details/122340799
版权

初见

附件为一个apk,在模拟器中运行一下,主界面:

随便输入一个字符串,点击GO:

弹框显示:Failed。

没有其它信息,反编译看看。

反编译

修改apk后缀名为zip,解压:

 使用dex2jar对解压得到的“classes.dex”文件进行反编译:

 使用jd-gui查看反编译的代码。

直接看MainActivity,代码量不大,一眼就可以看到弹框的字符串所在函数:

  public void onGoClick(View paramView) {
    String str = this.etFlag.getText().toString();
    if (getSecret(getFlag()).equals(getSecret(encrypt(str)))) {
      Toast.makeText((Context)this, "Success", 1).show();
      return;
    } 
    Toast.makeText((Context)this, "Failed", 1).show();
  }

所以正确的输入应该满足:

getSecret(getFlag())返回的字符串的内容等于getSecret(encrypt(str))返回的字符串的内容。

这里面str是我们输入的字符串。

这里有三个关键函数:getSecret/getFlag/encrypt,我们一个一个分析。

getSecret

不管异常处理部分,核心代码为:

byte[] arrayOfByte = MessageDigest.getInstance(encrypt("KE3TLNE6M43EK4GM34LKMLETG").substring(5, 8)).digest(paramString.getBytes("UTF-8"));
if (arrayOfByte != null) {
     StringBuilder stringBuilder = new StringBuilder(arrayOfByte.length * 2);
     int j = arrayOfByte.length;
     for (int i = 0; i < j; i++) {
          byte b = arrayOfByte[i];
          if ((b & 0xFF) < 16)
              stringBuilder.append("0"); 
          stringBuilder.append(Integer.toHexString(b & 0xFF));
     } 
     return stringBuilder.toString();
}

分三步:

  1. 使用MessageDigest类的实例计算得到arrayOfByte
  2. 申请arrayOfByte两倍长度的string
  3. 将arrayOfByte转换为16进制字符串保存在string内

而这个MessageDigest是常用的包,能搜到很多资料,是用于计算消息摘要的包。但这里使用的是哪个消息摘要算法得看:

        encrypt("KE3TLNE6M43EK4GM34LKMLETG").substring(5, 8)

这里取个巧,不去读encrypt的算法,直接修改smali代码得到encrypt函数的返回值。修改步骤为:

                1、使用apktool对apk进行解包:

                 2、修改MainActivity.smali,在encrypt函数调用后打印返回值:

invoke-virtual {p0, v7}, Lcom/ph0en1x/android_crackme/MainActivity;->encrypt(Ljava/lang/String;)Ljava/lang/String;

move-result-object v8
	
invoke-static {v8, v8}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I

                3、重新打包apk

                4、重新签名apk

 在模拟器里安装新生成的apk,打开Android Studio,运行apk,随便输入字符串,点击GO。在Android Studio底部的logcat窗口中就可以看到输出结果了:

 结果字符串的5-8字符为:"MD5",也就是getSecret就是就计算MD5。

而正确的输入是使得,getSecret(getFlag())返回的字符串的内容等于getSecret(encrypt(str))返回的字符串的内容。也就是两个字符串的MD5值相同,考虑到MD5碰撞概率极低,这里相当于要求getFlag()等于encrypt(str)。

接下来我们还是使用修改smali代码的方法,看看getFlag返回的字符串是什么,修改的流程与上面一直,修改的位置变为MainActivity.smali里getFlag函数调用后,通过插入Log函数打印返回值:

 invoke-virtual {p0}, Lcom/ph0en1x/android_crackme/MainActivity;->getFlag()Ljava/lang/String;

move-result-object v1
	
invoke-static {v8, v8}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I

 logcat中看到的结果为:

到这里,总结一下,我们现在需要让输入的字符串经过encrypt处理后,变为 “ek`fz@q2^x/t^fn0mF^6/^rb`qanqntfg^E`hq|”

encrypt

从反编译结果可以看出,这是一个jni函数:

public native String encrypt(String paramString);

到apk解压后的lib子目录下,可以看到多个处理器架构的库:

 找熟悉的x86看,使用IDA打开里面的libphcm.so。

找到encrypt函数,F5看反编译的结果:

int __cdecl Java_com_ph0en1x_android_1crackme_MainActivity_encrypt(int a1, int a2, int a3)
{
  size_t v3; // esi
  const char *s; // edi

  v3 = 0;
  for ( s = (const char *)(*(int (__cdecl **)(int, int, _DWORD))(*(_DWORD *)a1 + 676))(a1, a3, 0); v3 < strlen(s); --s[v3++] )
    ;
  return (*(int (__cdecl **)(int, const char *))(*(_DWORD *)a1 + 668))(a1, s);
}

这里是面向对象程序,a1是this指针,这里面调用了a1的两个成员函数a1+676和a1+668这两个是啥函数,暂不知道。

但分析里面的for循环,确很简单,就是给字符串每个字符-1。

我们的输入内容经过encrypt函数处理后为“ek`fz@q2^x/t^fn0mF^6/^rb`qanqntfg^E`hq|”,如果只是被for循环每个字符-1,我们就只需要给每个字符+1。每个字符加一的结果为:

flag{Ar3_y0u_go1nG_70_scarborough_Fair}

这里就无需多言了~~~

———————————————————————————————————————————

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【XCTF-Mobile】新手练习区-09-Ph0en1x-100.rar
08-31
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5093&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ph0en1x_100
Ph0en1x-100
XFox_的博客
09-19 340
Ph0en1x-100 雷电模拟器打开,随便输入会提示信息Failed MainActivity中找到关键词Failed发现调用了三种函数getSecret getFlag以及encrypt getSecret函数:Java层函数 public String getSecret(String arg12) { String v7 = "KE3TLNE6M43EK4GM34LKMLETG"; try { byte[] v3 = MessageDi
JEB动态调试与篡改攻防世界Ph0en1x-100
道阻且长,行则将至。
10-09 1960
文章目录题目APK静态分析jadx反编译IDA反汇编JEB动态调试工具的使用操作内存值AndroidKiller工具的使用篡改软件包总结 题目 攻防世界 Mobile 新手区题目链接 Ph0en1x-100,如下: 下载附件得到一个 apk,安装后如下: 要求输入一个 flag 值进行校验,很显然,需要逆向分析 APK 并获取 Flag。 APK静态分析 拖进查壳工具,未加壳: jadx反编译 裸奔,当然是拖进 jadx 查看源码: 关键看第 34 行的判断语句,它是通过比较 getSecret(get
Ph0ne1x-100 解题思考
weixin_54225868的博客
07-21 369
最近在做XCTF新手区的题目,发现了这个Ph0ne1x-100这道题十分的有意思,这道题的难度不高,但是十分适合新手,它的解题思路多种多样,不仅可以动态分析,还可以静态分析,包括Hook,改源码等技巧。 经过最近的研究,我通过这道题也研究出五种解法,其中有一些方法的思想相同,只是角度和难度不同,希望可以给大家提供一些思路。 老规矩,安装上去看一下,有一个输入flag的窗口,登录显示Fail: 再扔到JEB中打开,这个APK有SO库,主要类就是MainActivity,BuildConfig里面Deb
re学习笔记(81)攻防世界 - mobile区 - Ph0en1x-100
逆向随笔
07-24 359
Java层分析 将getSecret(getFlag())与getSecret(encrypt(input))进行比较 其中encrypt()在so内,是将每个字符的ascii码减1 getSecret中为MessageDigest.getInstance("MD5") hookdigest方法 /** * hook MessageDigest.digest方法 */ private void hookDigest(XC_LoadPackage.LoadPackage
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF_A_应收管理标准功能培训.pptx
10-11
【XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_物料清单标准功能培训.pptx
10-11
在XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
XCTF_A_成本管理标准功能培训.pptx
09-25
### XCTF_A_成本管理标准功能培训知识点梳理 #### 一、成本管理概述 - **培训目的**: 介绍Oracle标准功能中的成本管理模块,帮助企业更好地理解成本管理的重要性,并掌握其核心功能。 - **成本管理作用**: 成本管理...
第36天:攻防世界-Mobile—Ph0en1x-100
S1lenc3的博客
12-05 1566
工具 今天体验体验新工具。俗话说,工欲善其事必先利其器。 APKIDE3.3.0 也叫APK改之理 详细讲解 在APKIDE中打开apk文件,然后打开java源码, 定位关键代码: 都调用getSecret方法,那就是说参数相等即可。 即getFlag()=encrypt(paraView) paraView就是我们的输入。 两个native方法,...
【愚公系列】2023年05月 攻防世界-MOBILE(Ph0en1x-100)
热门推荐
时光隧道
12-17 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
xctf-Ph0en1x-100
qq_41071646的博客
01-30 1507
回家的第一篇文章~~~~ 其实是 很简单  的一道题   回家后 效率会降得很低  这个 只能偶尔学习一下下   这个题 先看一下 jar  然后  两边都经过了  getSecret  我们就不看这个函数了  我们直接去看 getflag  还有encrypt   这个是 getflag 下面  enctypt enctypt其实很好理解 直接就是将字符asicc值 减去...
【wp】Ph0en1x OJ 指南
weixin_34185512的博客
05-21 520
|-----@Crypto |----------@Secret01 |----------@Secret Message |----------@&# |----------@Orz Loop |----------@Secret Message 2 |----------@Coder |----------@Dark |----------@Strange Base64 |-----@...
XCTF新手区mobile之Ph0en1x-100
克格莫
02-21 974
安卓题的native是真的多。。。。。 将APK上JEB: 看onclick方法: public void onGoClick(View arg5) { if(this.getSecret(this.getFlag()).equals(this.getSecret(this.encrypt(this.etFlag.getText().toString())))) { ...
CTF安卓逆向练习第一弹
熊铁柱的博客
06-02 1万+
CTF安卓逆向练习第一弹–用户名与密码获取 写在前面的话:终于开始写博客了,记录自己逆向学习的一些过程,因为太小白了,所以权当抛砖引玉,供初学者参考。可能会有些错误,欢迎指出。 本篇从ctf逆向的一道题入手,主要练习so调试相关技术,以及断点下法思路,动态调试等。题目来源是ctf2016年逆向的第一题(第一题简单嘛),apk包:re1-e7e4ad1a.apk,网上好多资源就自己去找吧
java生成随机数
Ph0en1x的专栏
11-24 566
第一种方法,使用静态类Math中的random()函数。        Math.random()返回带正号的 double 值,该值大于等于0.0 且小于1.0。返回值是一个伪随机选择的数,在该范围内(近似)均匀分布。第一次调用该方法时,它将创建一个新的伪随机数生成器,与   new java.util.Random    完全相同。之后,新的伪随机数生成器可用于此方法的所有调用,但不能用于其
XCTF_MOBILE3_app2
一个热爱逆向,喜爱学习、分享的猿。
11-26 1841
拿到app,先再模拟器里跑一下: 需要的权限挺多,点击Continue,进入主界面: 两个编辑框已经有默认的内容,直接点击登录: 进到这个界面就不动了。修改编辑框的字符串,效果一样。 静态分析一下,j2dex反汇编: 用jd-gui打开,先看MainActivity。 在构造函数中,将自己注册成了点击事件处理类: this.a.setOnClickListener(this); onClick 所以点击按钮的处理函数为MainActivity的onClick ...
SM4_enCode SM4_deCode
六桥风月IT随笔
05-11 1158
int __cdecl SM4_enCode(int a1, int a2, int a3) { int v3; // edi@1 int v4; // eax@1 int v5; // eax@1 int *v6; // edi@1 int v7; // eax@1 int v8; // ecx@1 int *v9; // ST14_4@1 signed __in...
android ctf 分析,安卓逆向|菜鸟的objection学习笔记:分析一个简单的CTF
weixin_30419031的博客
05-27 338
安装后打开app,随便输入一个字符串,提示:"Failed"。将apk拖入jadx,搜索"Failed"定位到这里:看着逻辑很简单,只要:getSecret(getFlag()).equals(getSecret(encrypt(this.etFlag.getText().toString())))这行代码的返回值为真即可。这里有三个方法,分别是"getSecret","getFlag","enc...
pure_color xctf
最新发布
07-16
### 回答1: pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值