XCTFmobile之easy-so write up

最新推荐文章于 2024-01-03 11:46:20 发布
最新推荐文章于 2024-01-03 11:46:20 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: apk逆向 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaicenglou3032/article/details/104427184
版权

拖进模拟器是一个验证框,我们直接上jeb:

调用本地方法public static native int CheckString(String arg0),若验证一致返回1,否则返回0.

将apk重命名为zip后解压,在lib目录将.so文件拖进IDA,找到函数CheckString,代码如下:

_BOOL4 __cdecl Java_com_testjava_jack_pingan2_cyberpeace_CheckString(int a1, int a2, int a3)
{
  const char *v3; // ST1C_4
  size_t v4; // edi
  char *v5; // esi
  size_t v6; // edi
  char v7; // al
  char v8; // al
  size_t v9; // edi
  char v10; // al

  v3 = (const char *)(*(int (__cdecl **)(int, int, _DWORD))(*(_DWORD *)a1 + 676))(a1, a3, 0);
  v4 = strlen(v3);
  v5 = (char *)malloc(v4 + 1);
  memset(&v5[v4], 0, v4 != -1);
  memcpy(v5, v3, v4);
  if ( strlen(v5) >= 2 )
  {
    v6 = 0;
    do
    {
      v7 = v5[v6];
      v5[v6] = v5[v6 + 16];
      v5[v6++ + 16] = v7;
    }
    while ( v6 < strlen(v5) >> 1 );
  }
  v8 = *v5;
  if ( *v5 )
  {
    *v5 = v5[1];
    v5[1] = v8;
    if ( strlen(v5) >= 3 )
    {
      v9 = 2;
      do
      {
        v10 = v5[v9];
        v5[v9] = v5[v9 + 1];
        v5[v9 + 1] = v10;
        v9 += 2;
      }
      while ( v9 < strlen(v5) );
    }
  }
  return strcmp(v5, "f72c5a36569418a20907b55be5bf95ad") == 0;
}

我们大胆推测const char * v3是传入的字符串,接下来逐个分析代码逻辑:

v4 = strlen(v3);              //取变量v4=v3的字符串长度,假设v3="abcd",v4=4
v5 = (char *)malloc(v4 + 1);  //为字符指针v5请求一块长度为v4+1的内存空间
memset(&v5[v4], 0, v4 != -1); //将v5扩增一倍并后面扩增的部分初始化为0,此行代码结束,v5=----0000
memcpy(v5, v3, v4);           //将v3的内容复制到v5中
if ( strlen(v5) >= 2 )        //若v5的长度大于等于2则执行花括号内的内容
  {
    v6 = 0;             //初始化v6=0
    do                  //执行循环
    {
      v7 = v5[v6];     //从第0个开始读取v5的每个字符
      v5[v6] = v5[v6 + 16];   //逐个将v5的第v6个字符与第v6+16个字符交换位置
      v5[v6++ + 16] = v7;     //v6自增1
    }
    while ( v6 < strlen(v5) >> 1 );
  }

假设传入字符串为abcd,则上述代码执行完之后的v5为cdab

继续分析接下来的代码:

v8 = *v5;      //指针v8指向v5
  if ( *v5 )      //v5存在,执行花括号内的逻辑
  {   
    *v5 = v5[1];    
    v5[1] = v8;
    if ( strlen(v5) >= 3 ) //v5的长度大于等于3
    {
      v9 = 2;         //初始化v9=2
      do
      {
        v10 = v5[v9];   
        v5[v9] = v5[v9 + 1];
        v5[v9 + 1] = v10;
        v9 += 2;
      }
      while ( v9 < strlen(v5) );
    }
  }

这段代码很简单,就是两两交换。

根据上述我们直接手动得到flag的code:

1.将f72c5a36569418a20907b55be5bf95ad两两交换得到7fc2a5636549812a90705bb55efb59da

2.将7fc2a5636549812a90705bb55efb59da从中间砍断,头拼接到尾,得到90705bb55efb59da7fc2a5636549812a

3.加上flag{}就是flag。

 

KogRow(接毕设和大作业版)
关注
专栏目录
easy-rsa-2.2.0.tar.gz
06-30
首先,我们需要从源代码包`easy-rsa-2.2.0.tar.gz`中解压并安装。这通常包括解压、进入目录、配置和编译过程。在Unix/Linux环境下,可以使用以下命令: ``` tar -zxvf easy-rsa-2.2.0.tar.gz cd easy-rsa-2.2.0 ./...
XCTF mobile新手区解题记录(WP)以及一些总结和思考
windy_ll的博客
03-28 1319
前言     疫情当下,都已经耍了好几个月了,都不知道干啥了,好不容易等到我四川宣布开学时间了,结果四川高校一点动静都没有,无聊中,那就写一下解题记录吧,有些题先前已经在我个人博客上发过了,就不再重复写了,贴个链接就行了!!! 题目:app3     此题wp已经在个人博客写过,不在详细说明,详情请看链接:https://www.52pojie.cn/thread-1082706-1-1.htm...
easyso解题思路
Devil丶LY
07-24 213
作为一个菜鸡,很久没有搞so分析了,碰巧看到r0ysue大佬发的朋友圈,看到easy这个字样,寻思着可以康康,整体而言,没有加固,so中混淆手段较为温和(基本没有),用frida可以解题很友好(看源码死磕很恼火)。
安卓刷java_安卓逆向刷题(攻防世界)
weixin_32328999的博客
02-18 371
easyapk第一步一般都是先查壳(不过这种刚刚入门的题目基本上都是没壳的啦????)然后先运行一下看看是个啥...这个框是输入不了的。拖到jeb或者jadx里面瞅瞅,这个界面就一个很明显的MainActivity,也不用adb dump当前活动了很明显,就是获取text View文本框的内容,进行base64加密然后跟“5rFf7E2K6rqN7Hpiyush7E6S5fJg6rsi5NBf6NGT5...
攻防世界XCTF-MOBILE入门9题解题报告
jennycisp的博客
01-03 1565
说实话,这几天被逆向的恐怖思维,深深的吓着了,真的要抱腿腿了,叫我失眠了好几晚,我觉得逆向分析是CTF中最难的,求腿腿指点迷津啊,我决定不闷头自己研究了。
NSSCTF MOBILE [SWPU 2019]easyapp 详细题解
OrientalGlass的博客
06-21 1099
大佬题解[SWPU 2019]easyapp pwjcw的WriteUp大佬的题解很简单,直接hook就可以看到返回值,但是我看了半天没看明白是用什么工具做的看其他题解是分析so文件得到答案,但是仍然没有搞清楚函数调用流程.后来我学习了一下**《安卓Frida逆向与抓包实战 (陈佳林)》**才知道是用frida和objection进行hook,不过仍然没有成功复现,这里推测是由于安卓版本的问题,低版本(安卓7)成功复现,安卓9及以上均会失败。
EASY-UI示例;EASY-UI示例
09-13
EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例EASY-UI示例
easy-rsa.tar.gz
最新发布
09-23
easy-rsa3.2.0
easy-rsa-old-master.zip
09-29
easy-rsa-old-master.zip . ├── configure.ac ├── COPYING ├── COPYRIGHT.GPL ├── distro │ ├── Makefile.am │ └── rpm │ ├── easy-rsa.spec.in │ └── Makefile.am ├── doc │ ...
easy-grade-pro-4.0.3
11-26
"easy-grade-pro-4.0.3" 是一个教育评估软件的版本号,这表明我们正在讨论 Easy Grade Pro 的4.0.3版。Easy Grade Pro(EGP)是一款专为教师设计的评分和成绩管理工具,它简化了学生作业评分、考试成绩统计以及整体...
CTF逆向-EasySo攻防世界SO层反汇编
道阻且长,行则将至。
04-10 3485
文章目录前言APK反编译SO层反汇编C伪代码分析总结 前言 前面我在 移动安全-APK反编译 一文中引用郭霖老师的《Android第一行代码》一书介绍了 Android 的 So 层文件的作用和意义,先进行回顾一下: 本文的目的在于记录攻防世界中一道 CTF 逆向题目 easy-so,从中学习如何借助 IDA 反汇编神器对 Android SO 文件进行反汇编和分析。 APK反编译 1、题目链接以再上方,附件 APK的下载地址,题目如下: 2、下载后在模拟器进行安装后,主界面如下: 在输入框输入任意字符后
xctf----easyjni
qq_41071646的博客
01-22 1481
这个题 也不算是难题把 就是可能要静下心来好好的观察一下把 先看 一下反编译的结果 然后 这里调用了 Main 的 a方法 我们去看一下 这里 参数是经过com/a/easyjni/a 这个包里的 a 方法 然后跟进去 这不用说了 一看就知道了 是变形的base64 这里我们知道了 是我们输入的字符 经过变形的base64 加密 然后...
第38天:攻防世界-Mobileeasy-so
S1lenc3的博客
12-07 1321
1.继续刷Android,这题排序没规律啊,,,同样没学到啥东西。 2.Java EE的Play Framework框架有前途没有,做了一天JAVA课设,完成了第一个简易博客系统,也算写的一个简易网站吧。学过不少语言,但是对开发兴趣不大,就一直没搞,现在被逼着搞了一个,感觉还可以。MVC不过如此。。。。哈哈。(逃)! easy-so 看题目,就知道这道题是分析so文件了。 基本操...
Andrord reverse 攻防世界 easy-so
XFox_的博客
09-02 410
easy-so 放进雷电模拟器,是个验证界面 放进JEB,查看MainActivity public class MainActivity extends AppCompatActivity { public MainActivity() { super(); } protected void onCreate(Bundle arg3) { super.onCreate(arg3); this.setContentView(0x7F
re学习笔记(76)攻防世界 - mobile区 - easy-so
逆向随笔
07-23 533
Jeb打开,将编辑框内容传入CheckString,返回值为1则成功 查看CheckString方法,在名为"cyberpeace"的so文件中 打开apk目录的lib文件夹,提取出so文件,ida载入分析 找到相应的导出方法 导入jni.h文件,需要注释掉26,27,1112,1113行方可导入成功 修改参数类型为如下 分析该函数 写python脚本为 ens = "f72c5a36569418a20907b55be5bf95ad" enlist = list(ens) for i in ran
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4105
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
移动安全-Frida hook安卓So层函数实战
道阻且长,行则将至。
04-10 8381
文章目录前言Hook So有导出so层hook无导出so层hookSo层实战hook脚本的编写hook脚本的效果总结 前言 我在前面的一篇博客 CTF逆向-EasySo攻防世界SO层反汇编 中记录了对一道 CTF 逆向题目的 Android APP 的 So 层函数进行基础的逆向分析的过程,通过 IDA 反汇编查看 So 层代码并分析获得了 Flag 值。 生命在于折腾~本文将记录尝试通过 Frida hook 目标 APP 的 So 层函数并直接修改返回值(如同以前熟悉的 hook Java 层的函数一
第42天:攻防世界-Mobile-easy-dex(烂文)
S1lenc3的博客
12-11 1023
1.考完数据库。通宵复习,考试还是啥都不会,离挂科不远了。 2.再尝试android动态调试,最后总结,一定要用真机进行调试so。 3.放弃动态,等拿到真机再说吧。静态分析,继续做easy-dex。 easy-dex这道题我就掉坑里了,先是动态调试,我也是一根筋,三天还没实现它的动态调试。 今天试试静态分析,解密代码都找到了,又卡到解压这儿了。我要疯了,python3的zlib和pyt...
XCTF MOBILE 新手 app1、app2、easy-apk
A_dmin的博客
09-30 2466
XCTF MOBILE 新手 app1、app2、easy-apk
ctf杂项题:easy-nbt
资源摘要信息:"CTF杂项题:easy-nbt" 知识点: 1. CTF(Capture The Flag)介绍 CTF是一种信息安全竞赛,通常包括多种类型的问题和挑战,目的是考验参赛者的各种技能,如逆向工程、密码学、二进制分析、Web安全、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值