Android逆向 (四) 找flag实例

已于 2024-07-02 15:42:19 修改
阅读量409 收藏 5
点赞数 3
分类专栏: Android逆向 文章标签: android
于 2024-07-01 16:49:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuwangyong/article/details/140102007
版权

一、系统环境

OS: Windows_NT x64 10.0.19045

python:3.8.10

Node.js: 18.17.1

frida :14.2.14

objection:1.11.0

vscode: 1.87.2

device:nexus 5x-7.1.2

二、详细分析

前言:

通过界面文字可以发现 flag 要通过抽奖获取,点击十连抽之后大概率是无法抽到flag的,并且要等待很长时间后才能再次抽奖,很明显面对这种应用直接上工具盘它

正文:

应用没加壳,使用 jadx 打开后看到里面有两个 Activity,WishActivity和FlagActivity

两个Activity的主要逻辑都比较简单,WishActivity用于抽奖判断,FlagActivity用于 flag 计算

# 应用启动后就会启动定时器线程对抽奖次数进行累加
  
                     

    public int[] f2496o = {10, 0, 0};#10,0,0分别表示可抽奖次数,已抽奖次数,增加抽奖次数倒计时

    /* renamed from: p */
    public int[] f2497p = {1, 2, 4, 8, 16, 32, 64, 128};#增加抽奖次数每次倒计时

    /* renamed from: q */
    public Timer f2498q = new Timer();

    /* renamed from: r */
    public Runnable f2499r = new Runnable() { // from class: b.b.a.b
        @Override // java.lang.Runnable
        public final void run() {
            WishActivity wishActivity = WishActivity.this;
            TextView textView = (TextView) wishActivity.findViewById(R.id.tvResStatus);
            int[] iArr = wishActivity.f2496o;
            if (iArr[2] > 0) {
                iArr[2] = iArr[2] - 1;
            } else {
                if (iArr[0] < 10) {
                    iArr[0] = iArr[0] + 1;
                }
                wishActivity.f2496o[2] = wishActivity.f2497p[Math.min((iArr[0] + iArr[1]) - 10, wishActivity.f2497p.length - 1)];
            }
            int[] iArr2 = wishActivity.f2496o;
            textView.setText(iArr2[0] < 10 ? String.format(Locale.SIMPLIFIED_CHINESE, "当前已完成%d次祈愿,拥有%d个纠缠之缘\n%d秒后将为你补充一个", Integer.valueOf(iArr2[1]), Integer.valueOf(wishActivity.f2496o[0]), Integer.valueOf(wishActivity.f2496o[2])) : String.format(Locale.SIMPLIFIED_CHINESE, "当前已完成%d次祈愿,当前拥有%d个纠缠之缘\n纠缠之缘已满,%d秒后将溢出一个,请尽快使用!", Integer.valueOf(iArr2[1]), Integer.valueOf(wishActivity.f2496o[0]), Integer.valueOf(wishActivity.f2496o[2])));
        }
    };




    public class C0377a extends TimerTask {
        public C0377a() {
        }

        @Override // java.util.TimerTask, java.lang.Runnable
        public void run() {
            WishActivity wishActivity = WishActivity.this;
            wishActivity.runOnUiThread(wishActivity.f2499r);
        }
    }


#WishActivity

    public void onCreate(Bundle bundle) {
        super.onCreate(bundle);
        setContentView(R.layout.activity_wish);
        this.f2498q.schedule(new C0377a(), 1000L, 1000L);
        findViewById(R.id.btn_action).setOnClickListener(new View.OnClickListener() { // from class: b.b.a.a
            @Override // android.view.View.OnClickListener
            public final void onClick(View view) {
                String str;
                WishActivity wishActivity = WishActivity.this;
                if (wishActivity.f2496o[0] < 10) {
                    str = "纠缠之缘不足,无法进行祈愿";
                } else {
                    for (int i = 0; i < 10; i++) {
                        int[] iArr = wishActivity.f2496o;
                        iArr[0] = iArr[0] - 1;
                        iArr[1] = iArr[1] + 1;
                        if (Math.random() < (wishActivity.f2496o[1] <= 80 ? 0.006d : (r6[1] - 80) * 0.1d)) {
                            Toast.makeText(wishActivity, "恭喜你十连出金了,奖品为 flag 提示!", 1).show();
                            wishActivity.startActivity(new Intent(wishActivity, (Class<?>) FlagActivity.class));
                            return;
                        }
                    }
                    str = "哎呀呀,(又)没抽中,一会再试试吧";
                }
                Toast.makeText(wishActivity, str, 0).show();
            }
        });
    }

public class FlagActivity extends ActivityC0012h {

    /* renamed from: o */
    public static byte[] f2495o = {86, -18, 98, 103, 75, -73, 51, -104, 104, 94, 73, 81, 125, 118, 112, 100, -29, 63, -33, -110, 108, 115, 51, 59, 55, 52, 77};

    @Override // p000a.p002b.p003c.ActivityC0012h, p000a.p042i.p043a.ActivityC0257d, androidx.activity.ComponentActivity, p000a.p024f.p025b.ActivityC0182g, android.app.Activity
    public void onCreate(Bundle bundle) {
        byte[] bArr;
        Signature[] signatureArr;
        super.onCreate(bundle);
        setContentView(R.layout.activity_flag);
        byte[] bArr2 = f2495o;
        try {
            signatureArr = getPackageManager().getPackageInfo(getPackageName(), 64).signatures;
        } catch (PackageManager.NameNotFoundException unused) {
            bArr = new byte[0];
        }
        if (signatureArr != null && signatureArr.length >= 1) {
            byte[] byteArray = signatureArr[0].toByteArray();
            ByteBuffer allocate = ByteBuffer.allocate(bArr2.length);
            for (int i = 0; i < bArr2.length; i++) {
                allocate.put((byte) (bArr2[i] ^ byteArray[i % byteArray.length]));
            }
            bArr = allocate.array();
            TextView textView = (TextView) findViewById(R.id.tvFlagHint);
            StringBuilder m1162d = C0374a.m1162d("for honest players only: \n");
            m1162d.append(new String(bArr));
            textView.setText(m1162d.toString());
        }
        bArr = new byte[0];
        TextView textView2 = (TextView) findViewById(R.id.tvFlagHint);
        StringBuilder m1162d2 = C0374a.m1162d("for honest players only: \n");
        m1162d2.append(new String(bArr));
        textView2.setText(m1162d2.toString());
    }
}

要获得这个flag有几种方法

1.修改smali代码中的判断

找到代码中 if 判断的位置直接注释掉判断保存文件即可,因为flag是由签名计算而来,所以不能对apk进行重签名(NP工具设置里面取消勾选APK自动签名),可以使用【核心破解】 工具安装未签名的应用(需要先安装Xposed或LSPosed,并且要在 Xposed或LSPosed中启用【核心破解】模块)

重新安装修改后 未签名 的APK打开,点击十连抽就会跳转到 flag 界面

2.直接启动FlagActivity

adb shell am start-activity -n com.kbtx.redpack_simple/.FlagActivity

3.修改可抽奖次数

4.修改抽奖概率值

if (Math.random() < (wishActivity.f2496o[1] <= 80 ? 0.006d : (r6[1] - 80) * 0.1d)) {

#用NP工具修改dex smali
const-wide v6, 0x3f789374bc6a7efaL    # 0.006
const-wide v8, 0x3fb999999999999aL    # 0.1

#改成

const-wide v6, 0x3FF0000000000000L  # 1.0
const-wide v8, 0x3FF0000000000000L  # 1.0

Time_999
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 逆向学习详解及实例
09-01
本文主要介绍Android 逆向学习,这里整理逆向学习的思路及学习要点,并附示例代码,帮助大家学习理解,有需要的小伙伴可以参考下
Android逆向助手-v2.2.zip
07-14
Android逆向助手v2.2深度解析》 在移动应用开发领域,Android逆向工程是一种重要的技术手段,用于分析应用程序的工作原理、检测安全漏洞或优化性能。Android逆向助手v2.2作为一款专为Android逆向分析设计的工具,...
Android逆向(五) flag实例
shuwangyong的专栏
07-03 968
apk未加壳,只有一个MainActivity,查看OnCreate函数可以看到首先是对界面控件初始化操作,接着是对手势密码控件绑定监听函数。从界面看这个apk用的是手势解锁,随意尝试划动几次发现没有任何文字方面的提示,接下来就用JADX和GDA静态分析看看代码逻辑。
解决PermissionError: [Errno 13] Permission denied: ‘E:/test/mp3‘
weixin_43512125的博客
12-12 2895
1.MP3 toWAV 背景:将mp3格式的文件批量转为wav格式 from pydub import AudioSegment import os def mp3_wav(mp3_path,wav_path): file=[] for files in os.listdir(mp3_path): file.append(files) print(file) for i in range(len(file)): # 获取MP3文件
工控CTF(wp)
aarong的博客
04-17 8791
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Android的进程间通信(五) 之 Binder内核层以及ServiceManager初始化流程
共同交流与成长
12-23 322
Linux系统中,有驱动的扩展接口。Google在Linux的基础,增加一个Binder驱动,也就是前面几讲一直在说binder“内核”。 我们先来看一下Binder的内核注册的过程吧 在binder的内核文件中,Linux系统会自动调用 binder_init 的初始化方法,在这个初始化函数中,有一个 misc_register(&binder_miscdev) 函数。misc_register 是一个系统级别的函数,而参数binder_miscdev是一个结构体。我们来看一下 &bind
CTF题目部分解析
热门推荐
weixin_56817426的博客
05-24 1万+
一、题目一:exe逆向 二、读题 描述:我们获得了敌方某个exe文件,尝试逆向这个exe文件,获得里面的flag{字符串},以SeBaFi{}的形式提交字符串。 三、审题 到隐藏在exe中的flag。 一、题目二:看本质 二、读题 描述:在渗透过程中,我们要透过现象,看本质。 三、审题 第一步 :打开给出的网页发现是一个扫雷游戏,但是无论选择那种难度游戏开始后都是困难。 一、题目三:apk逆向1 二、读题 到隐藏在apk中的flag。 三、审题 Jadx打开apk,查看得到答案 flag{01
Android逆向助手_v2.2
12-23
Android逆向助手_v2.2:探索移动应用的秘密》 在移动互联网时代,Android作为全球最广泛使用的操作系统之一,其应用市场的繁荣催生了众多创新与竞争。然而,随着技术的发展,安全问题日益凸显,开发者们需要面对...
Android逆向工具
05-19
Android逆向工具基础思维导图,便捷整理思路,环境配置、Android开发环境、安卓模拟器、一台调试手机、调试方法
逆向BSides SF CTF之flagstore.apk
公众号shadow sock7
08-21 2579
看有一个writeup写了个装drozer, 然后尝试了一下并没有成功。感觉虽然功能不错,但是有点麻烦。然后 参考: https://ctf.rip/bsides-sf-ctf-2017-flag-receiver-mobile-reverse-engineering/ https://russtone.io/2017/02/14/bssidessf-2017-flagreceiver/在Ma
android 传参启动apk_移动安全(三)|一道CTF题的apk逆向实战
weixin_39716417的博客
11-27 1198
0x00 @!@#~#$MaoXH(胡小毛)的Android逆向之路系列又来了,本次他分享了一道CTF题的逆向详细过程,希望有缘人能够有所收获~0x01 开整~实验环境:雷电模拟器+AndroidStudio+androidKiller+jad-gui目标apk:目的:获取inputflag第一步:安装apk&&反编译首先将111.apk安装在雷电模拟器上,并且将apk拖...
工控安全,纵横网络靶场部分WP(一)
Zhangyannn的博客
06-04 3214
纵横网络靶场部分 wp 前言 最近有了misc、二进制、web的一些基础后,准备开始工控安全的一些题目学习。目前做了几道靶场题目,发现主要题型还是和modbus等工控协议相关的流量分析、misc相关等,所以简单做一个记录,以便以后学习回顾。 黑客的大意 题目描述: 文件下载下来后得到的是一个没有格式的文档,所以我们先用winhex或者010看一下文件是什么格式的 可以看到,文件头显示mail文件是png格式的,所以我们修改后缀名,用png格式打开mail文件,得到如下的图片 可以看到得到的图片里面包含
展开说说:Android之View基础知识解析
Hidanchaofan的博客
07-13 641
View虽不属于Android四代组件,但应用程度却非常非常广泛。在Android客户端,君所见之处皆是View。我们看到的Button、ImageView、TextView等等可视化的控件都是View,ViewGroup是View的子类因此它也是View。但是现在我们把View和ViewGroup当成两个类来看待,ViewGroup可以容纳View和ViewGroup,但View不可以再容纳其他View或ViewGroup,这种容纳的关系可以一直延伸仿佛一棵大树,从内而外有了父子关系,因此有个概念叫做Vi
Android高级——Logger日志系统
松仔Log的博客
07-11 1116
1是因为标签和内容后面跟着’\0’,用来区分和解析。
安卓热门面试题一
hai40587的博客
07-11 1046
Android 开发中一个非常强大的组件,用于显示大量数据集合的列表。为了优化自带了 ViewHolder 模式,这是优化列表显示的关键。通过重用视图(即 ViewHolder),避免了在滚动时不断创建和销毁视图的过程,从而提高了性能。确保你的 Adapter 正确地实现了 ViewHolder 模式。如果你的列表项需要从网络或数据库异步加载数据,请确保这些数据加载操作不会阻塞 UI 线程。可以使用 AsyncTask、Loader、Kotlin 协程或 LiveData 等方式来实现异步数据加载。
PHP基础语法
最新发布
红客网络编程与渗透技术
07-15 74
下面,我们提供了一个简单的 PHP 文件实例,它可以向浏览器输出文本 "Hello World!PHP 中的每个代码行都必须以分号结束。分号是一种分隔符,用于把指令集区分开来。通过 PHP,有两种在浏览器输出文本的基础指令:echo 和 print。PHP 脚本在服务器上执行,然后将纯 HTML 结果发送回浏览器。PHP 文件通常包含 HTML 标签和一些 PHP 脚本代码。PHP 脚本以
android解锁remount
chenhao0568的专栏
07-11 227
写完号就自动上锁。
Reverse_Engineering_for_Beginners-en-lite
01-24
Reverse_Engineering_for_Beginners-en-lite

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值