XCTF黑客精神解题报告

于 2022-05-16 13:24:55 发布
阅读量241 收藏
点赞数
分类专栏: android 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/siritobla/article/details/124796328
版权

题目来源:https://adworld.xctf.org.cn/

解题环境:kali + frida 12.8.0 + Win10 + IDA PRO 7.0

整体思路

静态分析.dex,应用的核心思路为com.gdufs.xman.MyAPP类中最先执行的initSN函数

其次,当我们在com.gdufs.xman.RegisterActivity中输入注册码,点击注册后,执行saveSN函数

只有当MyApp类中定义的静态字段m=1时,才会执行work函数

而上述三个关键函数,皆为JNI函数,具体实现在libmyjni.so中

那么解题的重心就需要转到so层了
使用IDA打开libmyjni.so,搜索Function name并未找到三个关键函数,说明采用了动态注册,通过frida脚本hook RegisterNatives函数可以得到三个函数在.so文件中的偏移为0x13b1,0x11f9,0x14cd。

分析initSN函数可知该函数主要功能为:打开/sdcard/reg.dat,读取其中的数据与"EoPAoY62@ElRD"进行比较,如果相同则m为1,如果不同则m为0。

 

再看saveSN函数,该函数的逻辑为:将用户输入的注册码经过一系列加密运算处理后,写入到/sdcard/reg.dat中

work函数的功能主要是当检测到m=1时打印提示信息
 

至此,题目意图已经非常明显,当我们输入的注册码经过一系列加密处理后为"EoPAoY62@ElRD",那么就是正确的注册码,即此题的flag。
这里暂不考虑加密细节,直接利用frida对加密函数进行重放以爆破得到明文,下面给出完整爆破代码。

//frida -U -f com.gdufs.xman -l demo.js --no-pause

//int fputs(const char *str, FILE *stream);
var fputs_str = null;
function hook_so_libc_fputs(){
    var libc_addr = Module.findBaseAddress("libc.so");
    var fputs_addr = Module.findExportByName("libc.so", "fputs");
    console.log("[libc.so] hooked fputs, fputs_addr="+fputs_addr);

    Interceptor.attach(fputs_addr,{
        onEnter: function(args){
            fputs_str = args[0].readCString();
            //console.log("[fputs] str="+fputs_str);
        },
        onLeave: function(retval){

        }

    });
}


function algorithm_cracking(){
    Java.perform(function(){
        var MyApp = Java.use("com.gdufs.xman.MyApp");
        var MyApp_instance = MyApp.$new();
        var dict = "abcdefghijklmnopqrstuvwxyz1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ!@#$%^&*()";
        
        var ciphertext = "EoPAoY62@ElRD";
        var ciphertext_array = new Array("EoP", "AoY", "62@", "ElR");
       
        var plaintext = "";
        var flag = 0;
        var t,i,j,k,g;
        var input;
        for (t = 0; t < ciphertext_array.length; t++) {
            flag =0;
            for (i = 0; i < dict.length; i++) {
                if (flag == 1) break;
                for (j = 0; j < dict.length; j++) {
                    if (flag == 1) break;
                    for (k = 0; k < dict.length; k++) {
                        input = "" + dict[i] + dict[j] + dict[k];
                        //console.log(temp);
                        MyApp_instance.saveSN(Java.use('java.lang.String').$new(input));
                        if (fputs_str == ciphertext_array[t]) {
                            console.log("input=" + input + "--output=" + fputs_str);
                            plaintext = plaintext + input;
                            console.log("plaintext="+plaintext);
                            flag = 1;
                            break;
                        } 

                    }
                }
            }
        }

        for (g = 0; g < dict.length; g++) {
            input = "" + dict[g];
            MyApp_instance.saveSN(Java.use('java.lang.String').$new(input));
            if (fputs_str == "D"){
                plaintext =plaintext + input;
                break;
            }
        }
        
        console.log("plaintext="+plaintext);
        console.log("algorithm_cracking finished");
    });


}



setImmediate(hook_so_libc_fputs);

setTimeout(algorithm_cracking,3*1000);


这里注意一个细节:算法爆破一定要注意输入明文与输出密文之间的对应关系,此题经过多次测试,可以得到以下规律:1明文长度与密文长度等价;2明文以3字符为一组进行加密,即爆破算法以3字符为单元依次进行破解。

 

运行frida脚本可以得到本题的最终flag为xman{201608Am!2333}
实际运行起来会非常耗时,大概需要20分钟才能爆破完成。

 

 最终小结

本题主要考察了算法逆向方面的知识点,较为简单。

 

siritobla
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xctf新手练习https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=0
weixin_30438813的博客
05-23 2620
view source Q:无法用鼠标右键查看原码,怎么办?A:浏览器地址栏在网址前输入 view-source: 即可查看源码 get post Q:用 get 提交 a=1,用 post 提交 b=2A:url后加 ?a=1,用 hackbar 提交b=2 robots Q:robots.txtA:域名后加 robots.txt backup Q:找到网站的备份文件A:暴力域名。...
学习练手——XCTF黑客精神
WuYu_AS的博客
07-17 366
一 环境   手机:Pixel 1   系统:Android 8.1   软件:IDA 7.5、JADX   难度:简单   apk资源 链接:https://pan.baidu.com/s/1iEBK__qeWKQAg9KFVraskA 提取码:jn3p 二 分析流程      1.打开点击自由正义分享,再点击注册,会进入了注册界面         2.输入1122334455667,再点击注册,点击好吧就会退出APP(点击对话框外的任意地方,不会退出APP)         3.打开JADX,
XCTF_MOBILE11_黑客精神
一个热爱逆向,喜爱学习、分享的猿。
02-21 1526
初见 附件为一个apk,先到模拟器中运行一下。 必须选择CPU为ARM的模拟器,因为app里面的native库只提供了ARM指令集的版本,没有提供x86指令集的版本: 模拟器启动后,将apk拖到模拟器中进行安装,安装好后,列表中app的图标是一个骚年: 运行app,又见一个骚年: 除了一个按钮啥也没有,点击这个按钮,弹出一个两按钮的对话框: 点击“不玩了”,app直接退出。 点击“注册”,进入新的界面。在新界面中,可以输入一串字符串,并有一个注册按钮。随便输入一个串,点击注..
第40天:攻防世界-Mobile—黑客精神(续)
S1lenc3的博客
12-09 805
今天没做出来题,四点之前准备考试,四点之后一直整动态调试,还没调通,哪位师傅带带我啊。。。过了这几天就好好看书了,估计刷题到瓶颈了,又没人教,太难了23333.。 今天把昨天那道题补充一下,昨天的佛系做法太水了。。。。 从找到四个函数开始吧。 先分析n2。 打开一个文件,不存在则创建。 关键点在这里,v16和v17是一个地址,当然是相同的字符串了。可以发现v13和v19是固定...
【愚公系列】2023年05月 攻防世界-MOBILE(黑客精神
热门推荐
时光隧道
12-24 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-RE】新手练习区-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
CTF竞赛介绍及刷题网址更新---2020.08
第七宇林的博客
08-15 1万+
CTF(夺旗赛) ---网络安全技术比赛的介绍 及 CTF常用的在线刷题网站:RedTigers-Hackit、XCTF(攻防世界)竞赛平台、网络信息安全攻防学习平台、OWASP 中国、实验吧CTF训练营、全国大学生信息安全竞赛官方网站、MS09067WEB靶场、合天网安实验室、封神台、SQL Fiddle、 BUUCTF、CTFHUB...
XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
网络安全相关行业必备网站
wangyuxiang946的博客
11-19 1万+
更新记录 更新时间:2020年10月22日11:37:29 更新内容:更新了码农常用工具 更新时间:2020年10月26日16:55:48 更新内容:新增了身份信息泄露查询专栏 更新时间:2020年10月30日10:37:28 更新内容:新增了博客论坛和提权免...
攻防世界:Web (新手练习题)之 weak_auth
weixin_45871855的博客
02-12 1355
weak auth 想玩玩攻防世界的朋友,CE已附上XCTF Web 练习题链接:https://adworld.xctf.org.cn/ 解题思路: 首先什么都不输入先logon得到 并弹窗提示:please login as admin!(请以管理员身份登录) 我们再打开check.php 的页面源代码看看会不会有什么线索 发现在有注释的信息,提示:maybe you need a di...
第39天:攻防世界-Mobile—黑客精神
S1lenc3的博客
12-08 1097
吐槽!!! 为什么那么多人做了这道题,没人出writeup。 我就佛系解题法了。。。。 前边一顿无脑操作,直接来到native方法。 这几个方法名,发现在so文件里找不见,第一次遇到这种情况。。。 搜索字符串试试。 看到了希望,进去看看吧。。。 最后 发现四个函数,n1,n2,n3,callWork. n2是创建reg.dat文件,并且把输入的字符串存进去, n1是判...
这恐怕是学习Frida最详细的笔记了
成小新的博客
07-07 1万+
转载自Sakura的博客:https://eternalsakura13.com/2020/07/04/frida title: Frida Android hook categories: Android逆向 致谢 本篇文章学到的内容来自且完全来自r0ysue的知识星球,推荐一下(这个男人啥都会,还能陪你在线撩骚)。 Frida环境 https://github.com/frida/frida pyenv python全版本随机切换,这里提供macOS上的配置方法 brew update bre.
pwn 做题记录 2.8 adworld hello_pwn
qq_62423835的博客
02-08 2633
菜鸡的第二篇日记
网络攻防之CTF篇
qq_42824259的博客
11-13 1200
XCTF之网鼎杯(双色块) 这是第一次写CSDN文章,平时主要是以学习别人的文章为主,作为一个编程和ctf的入门选手,水平肯定比较一般,写出来的目的就是加深自己的记忆,同时能够给别人提供一个不一样的思路吧(大佬除外)!废话不多说,现在开始。 给的图片是一个动态图片,咋一看,除了颜色变换外,看不出任何的思路,只有老规矩,notpad++打开,ctrl+f 搜索 ng,看到这个, 看到了熟悉的Png图片头,那直接放kali里面,用foremost -T分离出来, 分离的结果就是一张写着key的图,也不知道有什
ADworld pwn wp - pwn1
fa1c4的blog
06-26 177
不过问题在于开了canary所以溢出有难度, 不过v6是canary保存的变量, 而且栈位置在s数组的高位, 所以可以通过puts()泄露出canary, puts函数是打印直到’\0’字符为止, 所以溢出可行, 劫持执行流到ROP泄露puts函数地址, 计算出libc基址, 然后调用execve() 这里用one_gadget, 坑点在于记得计算服务器上的execve地址 from pwn import * from pwnlib import context from pwnlib.util.c...
3个国内最大的黑客学习网站
qq_38887171的博客
10-13 2万+
1、i春秋 国内比较好的安全知识在线学习平台,把复杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际环境的实验平台, 地址:https://www.ichunqiu.com/main 2、XCTF_OJ 练习平台 XCTF-OJ (X Capture The Flag Online Judge)是由XCTF组委会组织开发并面向XCTF联赛参...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值