CTF 安卓加解密

最新推荐文章于 2023-12-12 21:46:24 发布
最新推荐文章于 2023-12-12 21:46:24 发布
阅读量623 收藏
点赞数
分类专栏: Android 笔记 文章标签: android java android studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/twenty_four_7/article/details/125227769
版权

题目:
张三听说AES算法很安全,他不想被别人发现他的flag,于是将其加密处理后写到了安卓应用中。并且他从未公开题目的源码,你能从apk附件中破解他想隐藏的flag是什么吗?

附件 : apk

题解:

首先下载安卓反编译工具对apk进行反编译,https://github.com/skylot/jadx
拿到反编译后的代码,根据其AES加密规则进行对应的解密。

public class MainActivity extends AppCompatActivity {

    String enc = "bKhM9b9mSM2Xff4XgzzrYUXhKwfBxzUd30bdW3sOxpClsxmuVh04Ny7VAQhbjKui????";
    String key = "yuNttCSojTyxZodsxxxxxxx";
    private Cipher cipher;

    /* JADX INFO: Access modifiers changed from: protected */
    @Override
    // androidx.fragment.app.FragmentActivity, androidx.activity.ComponentActivity, androidx.core.app.ComponentActivity, android.app.Activity
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        Log.e("WuHengCTF", "Try this awesome tool to decompile apk\nhttps://github.com/skylot/jadx");
        final EditText editText = (EditText) findViewById(R.id.editText);
        Button button = (Button) findViewById(R.id.button);
        button.setOnClickListener(new View.OnClickListener() { // from class: com.wuhengctf.wuhengdroid1.MainActivity.1
            @Override // android.view.View.OnClickListener
            public void onClick(View view) {
                try {
                    String s = editText.getText().toString();
                    String e1 = Decrypt(s, key);
                    Log.e("hsk -- > ", e1);
                } catch (Exception e) {
                    e.printStackTrace();
                }
                String s = editText.getText().toString();
                if (MainActivity.this.verify(s)) {
                    Toast.makeText(MainActivity.this.getApplicationContext(), "yep", Toast.LENGTH_SHORT).show();
                } else {
                    Toast.makeText(MainActivity.this.getApplicationContext(), "nope", Toast.LENGTH_SHORT).show();
                }
            }
        });

    }

    // flag{xxxxxx}
    // WHCTF{XXX}


    boolean verify(String k) {
        try {
            cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");
            cipher.init(1, new SecretKeySpec(this.key.getBytes(), "AES"), new IvParameterSpec(new byte[16]));
            byte[] ciphertext = cipher.doFinal(k.getBytes(StandardCharsets.UTF_8));
            String encode = Base64.encodeToString(ciphertext, 2);
            Log.e("WuHengCTF", encode);
            return this.enc.equals(encode);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
    }



    // 解密
    public String Decrypt(String sSrc, String sKey) throws Exception {
        try {
            Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");
            cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(sKey.getBytes(), "AES"),new IvParameterSpec(new byte[16]));
            byte[] encrypted1 = Base64.decode(sSrc, 2);
            try {
//                byte[] original = cipher.doFinal(sSrc.getBytes(StandardCharsets.UTF_8));
                byte[] original = cipher.doFinal(encrypted1);
                String originalString = new String(original, StandardCharsets.UTF_8);
                Log.e("解密后", originalString);
                return originalString;
            } catch (Exception e) {
                System.out.println(e.toString());
                return null;
            }
        } catch (Exception ex) {
            System.out.println(ex.toString());
            return null;
        }
    }




}

最后通过解密得到flag

梦想家哈儿和他的bug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2016华山杯ctf安卓题目
06-17
【描述】2016年的华山杯CTF安卓题目反映了当时网络安全环境下的热点和难点。参赛者需要通过分析、解密、调试等手段,解决一系列与Android应用安全相关的任务,这些任务可能涵盖恶意软件检测、隐私泄露防护、代码逆向...
CTF-安卓逆向入门题目
热门推荐
CharlesGodX的博客
01-22 1万+
介绍 以下题目都是比较简单的安卓逆向题目,主要训练目的是熟悉安卓逆向的一些基础题目,如果是第一次接触安卓逆向,建议先去学一点安卓开发的相关知识,这样做题目就更快一些,当然题目做多了自然也就熟悉了,题目我都上传到Github上了,需要的可以下载。 题目1-androideasy 链接: https://github.com/ThunderJie/CTF-Practice/tree/master/CT...
android ctf 分析,Android逆向笔记 - ZCTF2016题解
weixin_39590635的博客
05-27 413
这是2016年zctf的一道Android题目,样本和本文用到的部分工具在文章末尾可以下载0x01 第一部分 静态分析安装运行apk,需要输入用户名和密码,用户名为zctf,用jeb工具反编译文件结构如下:图1如图 assets目录中有三个文件,bottom、flag.bin、key.db,还有一个JNIclass库。图2程序开始,先检查密码的长度(至少4位),然后调用auth方法验证用户名密码是...
CTF Android逆向 -- KGB Messenger APK文件结构介绍,破解账户与密码,静态分析,修改并构建APK,逆向算法,APK文件签名
Ba1_Ma0的博客
12-15 1681
1.应用程序包的名称2.应用程序的所有组件3.此应用程序运行需要什么权限,以及其他应用程序访问此应用程序的信息所需的权限4.兼容性功能包含资源但具有开发人员无法更改的预定义文件夹层次结构的文件夹。这些文件用于为不同的屏幕大小、操作系统版本和多语言支持提供替代方案。这是一个包含验证信息的文件夹。这是在“签署”应用程序时生成的。这个文件夹APK中包含的每个文件的指纹信息。这意味着对 APK 的任何修改(甚至替换图标)都需要重新签署 APK,否则操作系统将拒绝安装。
Android逆向CTF实用入门——apk
weixin_63576152的博客
08-04 4013
本文浅浅地针对CTF中遇到的安卓apk题目,罗列出一些基本知识点。
如何破解压缩包密码,CTF压缩包处理
Scalzdp的专栏
10-23 6888
压缩包我们经常接触,用于对文件进行压缩存储/传输。压缩包处理在CTF比赛中是非常重要的一块,因为:许多CTF题目会将关键信息隐藏在压缩包中,参赛者需要解压并查看其中的内容才能获取有用的线索。:参赛者需要掌握各种压缩文件格式的解压缩方法和工具,以及如何对压缩包进行加密和解密。:如果参赛者能够快速解压和查看压缩包中的文件列表和内容,就可以更快地找到关键信息,提高解题效率。:如果一个CTF题目涉及到多个压缩包或复杂的加密算法,那么它会更加具有挑战性,考验参赛者的技术水平和耐心。
CTF从入门到提升(一).docx
12-18
Crypto密码攻击题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术。Mobile移动安全主要介绍了安卓逆向中的常用工具和主要问题类型。Misc安全杂项题目涉及隐写术、流量分析、电子取证、...
ctf逆向安卓篇.doc
10-08
CTF(Capture The Flag)竞赛中,逆向工程是一项重要的技能,尤其是在安卓平台。本篇主要讨论的是如何对安卓应用进行逆向分析,以获取隐藏的信息或解密特定逻辑。我们将通过一个简单的例子来讲解这个过程。 首先...
2016-Android-ctf
05-24
【标题】2016-Android-ctf题解析 在信息安全领域,CTF(Capture The Flag)是一种流行的比赛形式,参与者通过解决一系列技术难题来获取“旗子”(代表分数)。2016年的一场针对Android平台的CTF比赛,其题目涉及了...
h1-702-2018-ctf-wu
05-09
【标题】"h1-702-2018-ctf-wu"是一个针对HackerOne平台的H1-702 CTF比赛的挑战项目,它以Android应用程序的形式呈现。这个CTF(Capture The Flag)比赛是网络安全领域的实战演练,参赛者通过解决一系列安全问题来...
CTF apk 安卓逆向
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
11-01 5431
apk界面如下 1、使用jeb对apk进行分析,找到manifest配置文件(即应用清单,中包含了APP的配置信息,系统需要根据里面的内容运行APP的代码,显示界面),从中找到初始启动类com.crackme.comingsoon.WebviewActivity 2、WebviewActivity中注册了backdoor和helloworld两个函数,并加载了newVersionLogin.html进行渲染。 3、newVersionLogin.html中可以访问两个函数,js的login函数,和后台
2021CTF工业信息安全技能大赛(常州站)-工控 APP 程序分析
qq_43264813的博客
08-04 1332
2021CTF工业信息安全技能大赛(常州站)-工控 APP 程序分析 题目内容:在某工控人员手机中发现一个疑似远控木马样本,请分析该样本,请分析控 制模式,及控制设置的密码,为后续的攻击溯源提供帮助,密码即为 flag,flag 提交格式为:flag{xx}。 解题步骤: 1.用Android Killer打开工程,根据提示需要找邮箱密码 2.查看工程模块,找到mail,看到其中有db字样,疑似工程数据存放,在其中找到密码 FLAG flag{3u8RphFH80WgCG2R} ...
ctf apk 总结与回顾
weixin_42100211的博客
08-16 420
ctf mobile方向的一点点心得。
CTF-APK经典题目-移动安全
qq_29566629的博客
02-23 2149
题目: 给了一个压缩包,解压以后: 根据提示,使用dex2jar把dex文件转化为jar包文件: 使用jd-gui查看jar包里的代码: 先看第一个: 这里就要安装apk,然后在应用中输入后面的这串字符,会调用FlagActivity这个文件,但是没有虚拟机用来安装,所以接着往下看: 通过分析代码可以知道这是创建flag的代码,把底下这串ASCII码转化为字符即为flag,使用浏览器转换方法见此处 ...
ctf安全_受伤的Android CTF撰写
weixin_26722031的博客
07-30 831
ctf安全In this article, I will be walking through the InjuredAndroid CTF. This is a vulnerable Android application with CTF examples based on bug bounty findings, exploitation concepts, and pure creativ...
看雪论坛 android,[原创]安卓CTF
weixin_34467704的博客
05-31 575
Android逆向----某CTF题静态分析将目标文件,安装至夜神模拟器,打开后界面如图:应该是某年的ctf大赛题。随便输入序列号,弹出如下错误提示:用AK打开,搜索字符串 “错误”,发现并没有找到转换为Unicode ,搜索可以找到字符串,得知改字符串,在a.smail文件中调用反编译对应的java文件,我们发现,影响程序执行流程的函数为check()如下图:继续搜索check()函数,可以发现...
【0-4】安卓逆向-ctf入门
最新发布
weixin_45880501的博客
12-12 896
因为主要的判断逻辑是在OnClickListener这个类里,而这个类是MainActivity的一个内部类,同时我们在实现的时候也没有给这个类声明具体的名字,所以这个类用$1表示。重新编译打包签名运行后flag已经显示出来了。
android 逆向(xctf)
wanan的博客
01-23 750
android 逆向(xctf)
Android逆向CTF实战分析
contrary_的博客
01-16 2528
既然这篇文章提到了CTF 我就先来科普一下 What is CTF??? 赛事介绍: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。 赛事起...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值