Android逆向 (二) 找flag实例1-java层

已于 2024-07-04 21:52:49 修改
阅读量425 收藏 3
点赞数 4
分类专栏: Android逆向实例 文章标签: android
于 2024-04-02 15:14:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuwangyong/article/details/137265413
版权

一、系统环境

OS: Windows_NT x64 10.0.19045

python:3.8.10

Node.js: 18.17.1

frida :14.2.14

objection:1.11.0

vscode: 1.87.2

device:nexus 5x-7.1.2

二、详细分析

1.首先用jadx查看程序逻辑

这个实例没有加壳,可以很清晰的看到程序代码,直接打开MainActivity就可以看到验证的代码位置

通过上面的代码可以看到用户名和密码相加后的内容传入到VVVVV.VVVV进行校验,根据返回的结果弹出不同的提示内容,下面是VVVVV这个类的完整代码

public class VVVVV {
    private VVVVV() {
    }

    public static boolean VVVV(View.OnClickListener context, String input) {
        if (input.length() != 5) {
            return false;
        }
        byte[] v = eeeee(input);
        byte[] p = "6f452303f18605510aac694b0f5736beebf110bf".getBytes();
        if (v.length != p.length) {
            return false;
        }
        for (int i = 0; i < v.length; i++) {
            if (v[i] != p[i]) {
                return false;
            }
        }
        return true;
    }

    private static byte[] eeeee(String input) {
        byte[] SALT = {95, 35, 83, 73, 75, 35, 95};
        try {
            StringBuilder sb = new StringBuilder();
            sb.append((char) SALT[0]);
            sb.append((char) SALT[1]);
            for (int i = 0; i < input.length(); i++) {
                sb.append((char) input.getBytes("iso-8859-1")[i]);
                sb.append((char) SALT[i + 2]);
            }
            sb.append((char) SALT[6]);
            byte[] bArr = new byte[0];
            return sssss(sb.toString()).getBytes("iso-8859-1");
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
            return null;
        }
    }

    private static String ccccc(byte[] data) {
        StringBuffer buf = new StringBuffer();
        for (int i = 0; i < data.length; i++) {
            int halfbyte = (data[i] >>> 4) & 15;
            int two_halfs = 0;
            while (true) {
                if (halfbyte < 0 || halfbyte > 9) {
                    buf.append((char) ((halfbyte - 10) + 97));
                } else {
                    buf.append((char) (halfbyte + 48));
                }
                halfbyte = data[i] & 15;
                int two_halfs2 = two_halfs + 1;
                if (two_halfs >= 1) {
                    break;
                }
                two_halfs = two_halfs2;
            }
        }
        return buf.toString();
    }

    private static String sssss(String text) {
        try {
            MessageDigest md = MessageDigest.getInstance("SHA-1");
            byte[] bArr = new byte[40];
            md.update(text.getBytes("iso-8859-1"), 0, text.length());
            return ccccc(md.digest());
        } catch (UnsupportedEncodingException e2) {
            e2.printStackTrace();
            return null;
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        }
    }
}

从这个代码可以知道账户名加密码也就是flag的长度是5个数字


        if (input.length() != 5) {
            return false;
        }

从上面的代码可以看出调用逻辑是

VVVV -> eeeee -> sssss -> ccccc

只有VVVV是进行校验的地方,后面3个函数都是对输入的内容进行加密的代码

通过上面的分析发现有两种方式可以获得flag:

1.暴力破解,通过循环的方式调用VVVV获得正确的flag

2.把加密代码抠出来,用android studio创建工程调用加密代码获得正确的flag加密后的内容

目标明确后就用objection来验证函数的调用逻辑是否正确

2.用objection调试看函数内容

打开终端运行附加进程命令

objection -g com.kanxue.pediy1 explore

验证内存中类是否存在

android hooking search classes com.kanxue.pediy1.VVVVV

hook指定方法并打印调用信息

com.kanxue.pediy1 on (google: 7.1.2) [usb] # android hooking watch  class_method com.kanxue.pediy1.VVVVV.VVVV  --dump-args --dump-backtrace --dump-return
(agent) Attempting to watch class com.kanxue.pediy1.VVVVV and method VVVV.
(agent) Hooking com.kanxue.pediy1.VVVVV.VVVV(android.view.View$OnClickListener, java.lang.String)
(agent) Registering job 483231. Type: watch-method for: com.kanxue.pediy1.VVVVV.VVVV
com.kanxue.pediy1 on (google: 7.1.2) [usb] # (agent) [483231] Called com.kanxue.pediy1.VVVVV.VVVV(android.view.View$OnClickListener, java.lang.String)
(agent) [483231] Backtrace:
        com.kanxue.pediy1.VVVVV.VVVV(Native Method)
        com.kanxue.pediy1.MainActivity$1.onClick(MainActivity.java:36)
        android.view.View.performClick(View.java:5637)
        android.view.View$PerformClick.run(View.java:22429)
        android.os.Handler.handleCallback(Handler.java:751)
        android.os.Handler.dispatchMessage(Handler.java:95)
        android.os.Looper.loop(Looper.java:154)
        android.app.ActivityThread.main(ActivityThread.java:6121)
        java.lang.reflect.Method.invoke(Native Method)
        com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:889)
        com.android.internal.os.ZygoteInit.main(ZygoteInit.java:779)
        de.robv.android.xposed.XposedBridge.main(XposedBridge.java:107)

(agent) [483231] Arguments com.kanxue.pediy1.VVVVV.VVVV([object Object], ass1112)
(agent) [483231] Return Value: (none)


3.用frida进行hook修改函数执行结果

function main(){
    Java.perform(function(){
        //先故意写错,通过异常提示来得出函数的参数签名
        Java.use("com.kanxue.pediy1.VVVVV").VVVV.implementation = function(x){
            var result = this.VVVV(x);
            console.log("x,y,result:",x,result);
            return result;
        }
    })
}

setImmediate(main);

通过异常信息得到参数签名

[Nexus 5X::com.kanxue.pediy1]-> Error: expected an unsigned integer
Error: VVVV(): argument types do not match any of:
        .overload('android.view.View$OnClickListener', 'java.lang.String')

把正确的参数签名填入代码后,就可以获得正常hook函数

function main(){
    Java.perform(function(){
        //先故意写错,通过异常提示来得出函数的参数签名
        // Java.use("com.kanxue.pediy1.VVVVV").VVVV.implementation = function(x){
        //     var result = this.VVVV(x);
        //     console.log("x,y,result:",x,result);
        //     return result;
        // }

        Java.use("com.kanxue.pediy1.VVVVV").VVVV.overload('android.view.View$OnClickListener', 'java.lang.String').implementation = function(x,y){
            var result = this.VVVV(x,y);
            console.log("x,y,result:",x,y,result);
            return result;
        }
    })
}

setImmediate(main);

x,y,result: [object Object] 33311 false

修改代码循环调用VVVV轮询出正确的flag,flag确定是5位数,所以flag的范围一定是在10000-99999之间

        Java.use("com.kanxue.pediy1.VVVVV").VVVV.overload('android.view.View$OnClickListener', 'java.lang.String').implementation = function(x,y){

            var intv = 10000;
            for(var i = 0;i < 90000; i++){
                var strv = intv + i;
                var result = this.VVVV(x,strv.toString());
                if(result == true){
                    console.log("x,y,result:",x,strv.toString(),result);
                }
                
            }
            return result;
        }

注入js文件注入程序

$frida -U com.kanxue.pediy1 -l test1.js

获取正确flag

[Nexus 5X::com.kanxue.pediy1]-> x,y,result: [object Object] 66888 true

第2种扣代码用android studio写的方式大同小异就不写了

Time_999
关注
专栏目录
android 如何重载函数,android - 如何在Frida中使用“ int”重载函数 - 堆栈内存溢出...
weixin_31849265的博客
05-25 1321
我有以下功能:public final int getState(@NotNull String str, int i) {Intrinsics.checkParameterIsNotNull(str, "key");return PreferenceManager.getDefaultSharedPreferences(this).getInt(str, i);}我不知道谁在重载时使用int参数...
frida-server启动报错syntax error: unexpected ‘(‘
xubaoyong的专栏
09-28 1898
frida-server启动报错syntax error: unexpected '('
安卓逆向 实战 某猫免费小说验证码请求协议分析&脱机执行
头铁逆向的旅程
08-16 4059
安卓逆向 实战 某猫免费小说验证码请求协议分析&脱机执行 过frida检测 脱壳 过代理检测 sign算法分析
逆向学习记录】Frida-Hook学习笔记
卦星的专栏
06-24 8218
Frida学习笔记 最近接触了很多Frida的Hook的东西,没有时间做详细笔记,这里仅仅针对看过的文章做个记录,以便后续可以翻阅查阅, 仅供自己查阅使用 关于SSLpin的hook,这是最全的一篇 https://paper.tuisec.win/detail/e10c553d9c9f0ca 关于Frida 的Hook基本学习的话,这是最全的一篇:http://www.ninoisher...
objection 改源码解决 app的双进程保护 和 双进程保护原理 frida.core.RPCException: Error: expected a pointer
arr的博客
10-30 6163
采用双进程的方式,对父进程进行保护,基于信号的发送和接收,实现相互的保护防止被动态攻击。 简单的双进程保护就是从原进程再fork一个空进程出来,让逆向分析的时候附加到空进程中导致hook不上 双进程进程保护主要功能: 1、保护父进程,ptrace所有线程,防止被附加、调试、暂停; 2、保护子进程,防止被暂停、异常退出; 下面是我用objection附加双进程保护的app的时候报错,一般双进程保护,先把app关掉直接用spwan模式就能附加上 root@arr:~/Desktop/frida_js# ob.
初识Frida--Android逆向Javahook (一)
小猪乔治
05-31 1万+
初探Frida–官方示例学习javahook (一) 前言…………… 初探Frida–官方示例学习javahook (一) 0x00 使用到的工具 0x01 hook示例的安装与分析 安装 源代码分析 frida自带的Messages机制与进程交互 怎么利用frida进行javahook 怎么使用frida自带的Messages机制与进程交互 frida-py...
Android 逆向分析大全
墨鱼菜鸡
07-11 3435
转载:Android 逆向分析大全:https://www.jianshu.com/p/a12d04fc748f 1. 概述 1.1 分析步骤 通用逆向分析步骤 1. 了解该模块正向编程相关方法2. 使用apktool解密apk,得到资源、jni模块等文件3. 从apk提取出dex文件,使用dex2jar转换成jar文件,再用java逆向工具...
CTF-Bugku逆向Android方法归纳
am_03的博客
08-28 1417
1.signin题目: reverse() 功能:反转数组里的元素的顺序 语法:arrayobject.reverse.() 这类方法会改变原来的数组,不可逆转 tostring() 功能:将各类进制的数字转化为字符串 语法:number.toString(radix)(radix代表进制数) 字符串的管理地方是string.xml java在引用函数时要倒着引用 StringBuffer 当对字符串进行修改的时候,需要使用 StringBuffer 和 StringBuilder 类。 和 String
Android APK 逆向实验(picoCTF)
weixin_43734793的博客
05-25 1663
首先,攻击可能所需要的软件: apktool.jar/apktool.bat(用于逆向apk文件,使用前需要先安装JAVA8以上版本) dex2jar.sh/dex2jar.bat (用于将dex文件转为jar文件) jd-gui工具 (可用于逆向.class以及.jar文件,得到可读的JAVA代码) 这里,我们用picoCTF中的一个逆向题目作为攻击案例:Reverse Engineering: droids1(该题目应该有更加简便的解法,但是为了更全面地说明apk的攻击方案,这里使用了比较复杂但.
Android逆向之旅---解析编译之后的Resource arsc文件格式
hgfujffg的博客
11-11 635
Android逆向之旅---解析编译之后的Resource arsc文件格式
Frida 使用教程和错误汇总
热门推荐
m0_54352040的博客
02-11 2万+
Frida 使用教程和错误汇总 Frida安装 Frida基本使用教程 python接口错误汇总1. 端口转发 Frida安装 Frida基本使用教程 Frida进阶使用教程 Frida python接口 错误汇总 1. 端口转发
2020-11-14IndentationError: expected an indented block
flyzh_csdn1的博客
11-14 160
IndentationError: expected an indented block print位置存在问题,应有缩进
Frida官方文档-Gadget
helloworlddm的博客
03-26 7571
Frida的Gadget是一个共享库,可以在不适合Injected操作模式的情况下由要检测的程序加载。 这可以通过多种方式完成, 例如: Modifying the source code of the program修改程序的源代码 修补它或其一个库,例如 通过使用诸如insert_dylib之类的工具 使用动态链接器功能,例如LD_PRELOAD或DYLD_INSERT_LIBRARIES ...
error: aggregate value used where an integer was expected
程序狗的成长之路
12-05 1万+
问题描述:           把struct结构体类型数据,强制转换成unsigned long 不能进行转换的原因是因为结构类型(包括 union)不是数量类型(Scalar Type);只有在数量类型之间才能进行转换。数量类型包括算术类型和指针类型,算术类型由包括整数类型和浮点类型。 哪怕是 struct in_addr 类型: struct in_ad
【兼容性记录】video标签在 IOS 和 安卓中的问题
fans_x的博客
09-13 856
业务需求背景:由于业务中涉及到有视频播放的内容,所以就使用了video标签去做,但是video标签在ios 设备和安卓设备中的默认行为不一致,故记录下解决方法(折中办法)。
Android 内置应用裁剪
Framework-coder的博客
09-13 123
参考 AOSP 中 PRODUCT_PACKAGES 配置的方式,自定义一个“PRODUCT_PACKAGES_REMOVE”配 置选项。用户可根据自身项目的需要,将需裁剪的 APK 名称(无需 .apk 后缀) 都添加到“PRODUCT_PACKAGES_REMOVE”项下,从而做到一次性全部裁剪。此方法省去了查目标 APK 的编译.mk 文件的时间,提高了工作效率。补丁如下:从以上补丁可以发现,只要是添加在“PRODUCT_PACKAGES_REMOVE”配置项下的 APK 都将被裁剪。
android 14.0 USB连接模式默认设为MTP
安卓兼职framework和app工程师的博客
09-13 335
在14.0android系统产品开发中,在通过otg连接设备的时候,会弹出usb连接模式这时候会让客户选择当前连接电脑是 哪种模式,在项目开发中,需要以mtp模式,就是可以在电脑查看设备的内部存储的样式来设置otg连接电脑的模式, 接下来分析下相关模式,来具体实现相关功能
Android14 蓝牙 BluetoothService 启动和相关代码介绍
最新发布
wenzhi的博客
09-14 1616
蓝牙开关和使能开发主要用到:BluetoothService、BluetoothManagerService、BluetoothManager、BluetoothAdapter 这几个系统相关类。某个蓝牙的配对、连接、断开 使用的是 BluetoothDevice 对象。蓝牙开关状态不记忆或者打开异常就可以看看BluetoothManagerService的日志,里面有打开关闭相关过程日志和时间点,这个对问题分析有一定的帮助。本文主要介绍一下 framework 相关的几个类,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值