XCTF_MOBILE10_easy-dex

已于 2022-02-14 18:08:46 修改
阅读量1.6k 收藏
点赞数 1
分类专栏: CTF 文章标签: android 逆向 ctf
于 2022-02-14 15:20:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadow20080578/article/details/122880959
版权

初见

附件为一个apk,先到模拟器中运行一下。

这里要注意,这道题不能选用CPU指令集为x86的模拟器,需要用CPU指令集为ARM的模拟器,因为这个apk里面用到了native库,并且apk只提供了ARM指令集的native库。

可以看到,我是有两个模拟器,一个ARM指令集的,一个Intel指令集的,这里要用ARM指令集的模拟器。

打开模拟器后,把apk拖进去进行安装,安装好后,就能看到这道题的app了:

 app名字上给我们了一个小提示:要找到dex。

运行一下app,主界面就是全黑,没有任何东西:

 初步体验,没有更多有用信息了。下面反编译静态分析看看。

静态分析

将apk重命名为zip并解压。发现竟然没有dex文件:

这又和模拟器应用列表里的app的名字联系起来了,要找到dex。

先看看AndroidManifest.xml,看看这个app的整体信息。

AndroidManifest.xml分析

直接使用zip解压后,AndroidManifest.xml是二进制格式的,无法直接阅读,需要用apktool对apk进行反编译:

apktool.bat d apk路径

反编译之后,会生成一个目录,目录名和apk名相同。这个目录里的XML就都是解码后的了。

通过查看AndroidManifest.xml内容可以发现,这是一个NativeActivity的app:

<activity android:configChanges="keyboardHidden|orientation" android:label="@string/app_name" android:name="android.app.NativeActivity">
   <meta-data android:name="android.app.lib_name" android:value="native"/>
   <intent-filter>
        <action android:name="android.intent.action.MAIN"/>
        <category android:name="android.intent.category.LAUNCHER"/>
   </intent-filter>
</activity>

关于NativeActivity,可以查看这篇博客。

NativeActivity的app的主函数在lib目录下的Native库中,对于这道题就是在\6ee9ecdb39b5492aba053a73aeebb25b1\lib\armeabi-v7a\libnative.so中。

通过PE文件工具可知,这是一个32位的ELF文件:

接下来我们就用IDA对这个文件进行分析。

libnative.so

用IDA加载libnative.so,在导出函数中,可以找到android_main函数:

根据讲NativeActivity的博客我们知道,如果导出了android_main函数,那这就是这个app的主函数。

在这个函数中可以看到log函数调用,形如:

_android_log_print(4, "FindMyDex", "Can you shake your phone 100 times in 10 seconds?");

故尝试使用Logcat看看能不能捕获这些字符串,发现是可以的:

上图最后一行字符串就是app打印的,提示要求我们10秒内点100下鼠标。这道题考的是手速??

这手速要求,反正我是达不到,只能继续看看反汇编代码了。

android_main

在android_main代码后面部分,可以看到恭喜你成功的代码分支:

else
{
    v20 = time_before;
    if ( uncompress(DstBuf, &destLen, (const Bytef *)SrcBuf, ::dw_0x3CA10) )
      _android_log_print(5, "FindMyDex", "Dangerous operation detected.");
    v21 = open(filename, 577, 511);
    if ( !v21 )
      _android_log_print(5, "FindMyDex", "Something wrong with the permission.");
     write(v21, DstBuf, destLen);
     close(v21);
     free(DstBuf);
     free(SrcBuf);
     if ( access(name, 0) && mkdir(name, 0x1FFu) )
       _android_log_print(5, "FindMyDex", "Something wrong with the permission..");
     sub_2368((int)a1);
     remove(filename);
     _android_log_print(4, "FindMyDex", "Congratulations!! You made it!");
     sub_2250(a1);
     v10 = 0x80000000;
     time_before = v20;
}

这里面有些变量我改了名的,可能和你的IDA输出不一样。

这段的大致流程就是,使用uncompress函数解压一段内存,然后将解压后的内容写文件。之后又把这个文件删除。这个解压后的内容很可能就是dex文件。

根据uncompress函数的参数,解压前的内存为变量SrcBuf,长度为0x3CA10。我们向上找找这个SrcBuf内容哪来的。

在函数的最开始,可以找到SrcBuf申请空间和赋初值的代码:

SrcBuf = (char *)malloc(::dw_0x3CA10);
qmemcpy(SrcBuf, byte_7004, dw_0x3CA10);

就是将0x7004处的,长0x3CA10的内容复制到SrcBuf中。

之后有一段代码对SecBuf内容进行了解密:

        v10 = NumOfSharke;
        if ( (unsigned int)(NumOfSharke - 1) <= 88 )
        {
          v10 = NumOfSharke;
          BlockNum = NumOfSharke / 10;
          if ( NumOfSharke % 10 == 9 )
          {
            dw_0x3CA10_1 = ::dw_0x3CA10;
            BlockSize = (int)::dw_0x3CA10 / 10;
            v18 = (BlockNum + 1) * ((int)::dw_0x3CA10 / 10);
            if ( (int)::dw_0x3CA10 / 10 * BlockNum < v18 )
            {
              v19 = &SrcBuf[BlockSize * BlockNum];
              do
              {
                --BlockSize;
                *v19++ ^= NumOfSharke;
              }
              while ( BlockSize );
            }
            if ( NumOfSharke == 89 )
            {
              while ( v18 < dw_0x3CA10_1 )
                SrcBuf[v18++] ^= 89u;
            }
            v10 = NumOfSharke + 1;
          }
        }

核心就是将0x3CA10这么长的内容平均分成10份,前8份的内容分别异或9/19/29/39/49/59/69/79,最后两份内容异或89。就是一个异或解密。

所以整体解密流程分三步:

  1. 从0x7001获取0x3CA10长度的内容
  2. 进行异或解密
  3. 使用uncompress函数解压

解密dex文件

针对解密的三步流程,下面用三段python代码实现dex文件解密。

这里要注意,0x7001是加载进内存的地址,由于内存加载基址为0x1000,所以在文件中被加密的内容从0x6001开始。

下面第一段python代码用于获取加密后内容并写入一个文件:

fLib = open("C:\\Users\\leo\\Desktop\\6ee9ecdb39b5492aba053a73aeebb25b\\lib\\armeabi-v7a\\libnative.so","rb");
fLib.seek(0x6004, 0);
read_buf = fLib.read(0x3CA10)
fDump = open("C:\\Users\\leo\\Desktop\\dump.dat", "wb");
fDump.write(read_buf);
fDump.close();
fLib.close();

第二段代码读入上面生成的文件,对加密后内容进行异或解密,并将解密后内容写入文件:

import os
f=open("dump",'rb').read()
ws=open('de_dump','wb')
length = 0x3CA10
data = list(f) 
data1 = [];  
#print hex(len(data)) 
for j in range(0,90):
    if j%10 == 9:
        ls = int(j/10)
        ls_ = int(length/10)
        start = int(ls*ls_)
        end = int((ls+1)*ls_)
        for i in range(start,end):
            ws.write(((data[i])^j).to_bytes(length=1,byteorder='big',signed=False))
        if j == 89:
            for i in range(end,length):
                ws.write(((data[i])^89).to_bytes(length=1,byteorder='big',signed=False))
ws.close()

第三段代码uncompress函数对异或解密后的内容进行解压:

import zlib
buf=open("de_dump",'rb').read()
buf_de = zlib.decompress((buf))
ff=open('class.dex','wb')
ff.write(buf_de)
ff.close()

当然也可以把三步解密过程放在一个python代码中,但为了方便分析解密过程的中间结果,我是写了三段代码。

dex文件逆向分析

获得dex文件后,使用dex2jar对dex文件进行反编译:

用jd-gui查看反编译得到的jar包。

在MainActivity类中可以看到一串字节串:

  private static byte[] m = new byte[] { 
      -120, 77, -14, -38, 17, 5, -42, 44, -32, 109, 
      85, 31, 24, -91, -112, -83, 64, -83, Byte.MIN_VALUE, 84, 
      5, -94, -98, -30, 18, 70, -26, 71, 5, -99, 
      -62, -58, 117, 29, -44, 6, 112, -4, 81, 84, 
      9, 22, -51, 95, -34, 12, 47, 77 };

还可以在构造函数中看到,类a负责按钮事件的响应:

((Button)findViewById(2131427413)).setOnClickListener(new a(this, (EditText)findViewById(2131427412), (Context)this));

类a中的按钮响应函数为:

public void onClick(View paramView) {
    if (Arrays.equals(MainActivity.b(this.a.getText().toString(), this.c.getString(2131099683)), MainActivity.m)) {
      Toast.makeText(this.b, this.c.getString(2131099685), 1).show();
      return;
    } 
    Toast.makeText(this.b, this.c.getString(2131099682), 1).show();
}

其中核心是Arrays.equeal函数调用,该函数有两个参数,一个为MainAcitvity.b函数的返回值,一个为MainAcitvity.m字节串。如果这两个参数相等,就表示成功。

所以,这道题就是要寻找正确的参数,让MainAcitvity.b函数返回MainAcitvity.m字节串。

MainAcitvity.b函数

MainAcitvity.b函数有两个参数,一个是输入字符串,一个是固定字符串。

这个固定字符串的ID为2131099683(0x7f060023),这个ID对应的资源名在public.xml中可以找到:

<public type="string" name="two_fish" id="0x7f060023" />

在strings.xml中可以找到资源名对应的字符串:

<string name="two_fish">I have a male fish and a female fish.</string>

也就是MainAcitvity.b函数的第二个参数为“I have a male fish and a female fish.”。

这里暗示有twofish加密算法,如果MainAcitvity.b是twofish加密函数的话,第二个参数,这个固定字符串“I have a male fish and a female fish.”就应该是它的秘钥。

尝试用twofish算法对MainAcitvity.m字节串进行解密。但是MainAcitvity.m字节串里面有负数,先用python转化为16进制字节串:

a = [-120, 77, -14, -38, 17, 5, -42, 44, -32, 109, 85, 0x1F, 24, -91, -112, -83, 0x40, -83, -128, 84, 5, -94, -98, -30, 18, 70, -26, 71, 5, -99, -62, -58, 0x75, 29, -44, 6, 0x70, -4, 81, 84, 9, 22, -51, 0x5F, -34, 12, 0x2F, 77]
for i in a:
	print("%02x"%(i & 0xff), end = '')

输出为:

884df2da1105d62ce06d551f18a590ad40ad805405a29ee21246e647059dc2c6751dd40670fc51540916cd5fde0c2f4d

然后到twofish在线解密网站进行解密:

得到结果:

qwb{TH3y_Io<e_EACh_OTh3r_FOrEUER}

———————————————————————————————————————————

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-Mobile】新手练习区-02-easy-dex.apk
08-16
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5089&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easydex
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF easy-dex
XFox_的博客
11-10 113
JEB看不出来。。 在ANativeActivity中有一个新线程:sub_325C if ( pipe(&attr.__align + 6) ) { v10 = (int *)_errno(); v11 = strerror(*v10); _android_log_print(6, "threaded_app", "could not create pipe: %s", v11); v8 = 0; } else { *((_QWORD *
easy-dex
playmaker的博客
04-18 273
easy-dex 程序没有dex文件发现,android有两个Activity其中的一个Activity名称为android.app.NativeActivity且android:hasCode="false"表面该应用不包含java代码。 <activity android:configChanges="0xa0" android:label="@string/app_name" android:name="android.app.NativeActivity"> <m
XCTF MOBILE 新手 easyjni
A_dmin的博客
10-09 615
XCTF MOBILE 新手 easyjni 下载文件,发现是个APK文件,直接APKIDE分析一波,发现有lib,看一看名字:
XCTF_MOBILE3_app2
一个热爱逆向,喜爱学习、分享的猿。
11-26 1841
拿到app,先再模拟器里跑一下: 需要的权限挺多,点击Continue,进入主界面: 两个编辑框已经有默认的内容,直接点击登录: 进到这个界面就不动了。修改编辑框的字符串,效果一样。 静态分析一下,j2dex反汇编: 用jd-gui打开,先看MainActivity。 在构造函数中,将自己注册成了点击事件处理类: this.a.setOnClickListener(this); onClick 所以点击按钮的处理函数为MainActivity的onClick ...
XCTF-Mobile】新手练习区-01-easy-apk.apk
08-04
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyapk
XCTF-Mobile】新手练习区-04-easyjava.apk
08-04
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjava
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF MOBILE 新手 app3
A_dmin的博客
10-03 1141
XCTF MOBILE 新手 app3 没事做,随便玩玩,谁知道一玩就是一晚上 下载下来是个.ab文件,emmm,直接使用notepad++查看一下:
C#_反编译dex_工具_Android逆向工具
12-22
C#_反编译dex_工具_Android逆向工具
XCTF_MOBILE13_基础android
一个热爱逆向,喜爱学习、分享的猿。
03-15 2534
初探 附件为一个apk,在模拟器里安装一下: 运行后,主界面很简单,一个输入框,一个按钮: 随便输入一个字符串,点击按钮,提示错误: 从使用上只有这些信息,接下来反编译看一看。 MainActivity 使用jadx打开apk,进行反编译。 先看MainActivity类,代码不多,可以轻松找到其中的按钮事件响应函数: this.login.setOnClickListener(new View.OnClickListener() { public voi...
XCTF_MOBILE11_黑客精神
一个热爱逆向,喜爱学习、分享的猿。
02-21 1535
初见 附件为一个apk,先到模拟器中运行一下。 必须选择CPU为ARM的模拟器,因为app里面的native库只提供了ARM指令集的版本,没有提供x86指令集的版本: 模拟器启动后,将apk拖到模拟器中进行安装,安装好后,列表中app的图标是一个骚年: 运行app,又见一个骚年: 除了一个按钮啥也没有,点击这个按钮,弹出一个两按钮的对话框: 点击“不玩了”,app直接退出。 点击“注册”,进入新的界面。在新界面中,可以输入一串字符串,并有一个注册按钮。随便输入一个串,点击注..
XCTF mobile新手区解题记录(WP)以及一些总结和思考
windy_ll的博客
03-28 1033
前言     疫情当下,都已经耍了好几个月了,都不知道干啥了,好不容易等到我四川宣布开学时间了,结果四川高校一点动静都没有,无聊中,那就写一下解题记录吧,有些题先前已经在我个人博客上发过了,就不再重复写了,贴个链接就行了!!! 题目:app3     此题wp已经在个人博客写过,不在详细说明,详情请看链接:https://www.52pojie.cn/thread-1082706-1-1.htm...
第55天:三战easy-dex
S1lenc3的博客
12-24 691
1.熟悉了dex和odex文件 2.再次尝试动态调试easy-dex,失败。 3.完善easy-dex dex文件结构清晰,使用了无符号整型和LEB128的数据类型。 结构如下: 文件头固定:64 65 78 0A 30 33 35 00 在010editor中可下载dex文件模板对应学习。 odexdex的优化,结构如下: 文件头固定:64 65 79 0A 30 ...
XCTF_MOBILE14_APK逆向
一个热爱逆向,喜爱学习、分享的猿。
03-30 490
初见 题目除了一个apk附件外,还有一条提示信息:“备注:本题提交大括号内值即可”。 还是先来具体体验一下,先安装APP: 上图中,最后的“TopCtf”就是本题的APP。打开它: 就一个输入控件,一个按钮。 随便输入一个字符串,点击确定,提示“错误”: 从体验上就这些信息,下面对APP的apk文件进行静态分析。 静态分析 使用jadx打开apk文件,可以看到该APP除了资源类“R”和配置类“BuildConfig”,只有一个类“MainActivity”。重点分析...
XCTF EasyRE
lhk124的博客
07-31 734
直接看ida和代码 str_list = [0x78,0x49,0x72,0x43,0x6A,0x7E,0x3C,0x72,0x7C,0x32,0x74,0x57,0x73,0x76,0x33, 0x50,0x74,0x49,0x7F,0x7A,0x6E,0x64,0x6B,0x61] flag_list = [] # print(len(str_list)) """ 正向:1.判断长度是否为24 2.对输入的每个字符串从最后一位开始往前进行+1,^0x6 3.与上边的字符串
【愚公系列】2023年05月 攻防世界-MOBILEeasy-dex
热门推荐
时光隧道
12-23 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
攻防世界 easy-dex解题思路
Devil丶LY
10-14 1642
这道题包含的知识感觉还挺多的,基本上是解出一步卡一步,然后不停的百度,看文章分析,才慢慢的摸索出来,首先是第一次接触到纯native开发的app这种东西,知道了其AXML大概的写法,以及SO文件中的入口为,其次是第一次接触到将dex文件写入SO中,在运行时由SO进行释放的概念。最后分析释放出的dex文件时,新接触到twofish加密算法。一环套装一环,是比较有价值的一道题。(但对于我们这种初学者来说也是相当不友好的一道题…)
pure_color xctf
最新发布
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值