Android逆向题解4-EasyJni

最新推荐文章于 2023-03-05 03:36:34 发布
最新推荐文章于 2023-03-05 03:36:34 发布
阅读量368 收藏 2
点赞数
分类专栏: 安卓逆向题解 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013170888/article/details/105470045
版权

-运行界面:
找flag,用户输入一串字符串点击cheek确认输入是否正确
在这里插入图片描述

  • 代码分析
    判断用户输入字符串是否正确
    在这里插入图片描述
    先用一个a方法加密之后传入native函数ncheck进行判定;也就是在Java层有一次加密,在native层还有一次加密;
    在这里插入图片描述
    Java层的加密,类似一个换了码表的base64加密;
package com.a.easyjni;
 
public class a {
    private static final char[] a;
 
    static {
        a.a = new char[]{'i', '5', 'j', 'L', 'W', '7', 'S', '0', 'G', 'X', '6', 'u', 'f', '1', 'c', 'v', '3', 'n', 'y', '4', 'q', '8', 'e', 's', '2', 'Q', '+', 'b', 'd', 'k', 'Y', 'g', 'K', 'O', 'I', 'T', '/', 't', 'A', 'x', 'U', 'r', 'F', 'l', 'V', 'P', 'z', 'h', 'm', 'o', 'w', '9', 'B', 'H', 'C', 'M', 'D', 'p', 'E', 'a', 'J', 'R', 'Z', 'N'};
    }
 
    public String a(byte[] arg10) {
        StringBuilder v4 = new StringBuilder();
        int v0;
        for(v0 = 0; v0 <= arg10.length - 1; v0 += 3) {
            byte[] v5 = new byte[4];
            int v3 = 0;
            byte v2 = 0;
            while(v3 <= 2) {
                int v7 = arg10.length - 1;
                if(v0 + v3 <= v7) {
                    v5[v3] = (byte)(v2 | (arg10[v0 + v3] & 0xFF) >>> v7 * 2 + 2);
                    v2 = (byte)(((arg10[v0 + v3] & 0xFF) << (2 - v3) * 2 + 2 & 0xFF) >>> 2);
                }
                else {
                    v5[v3] = v2;
                    v2 = 0x40;
                }
 
                ++v3;
            }
 
            v5[3] = v2;
            int v2_1;
            for(v2_1 = 0; v2_1 <= 3; ++v2_1) {
                if(v5[v2_1] <= 0x3F) {
                    v4.append(a.a[v5[v2_1]]);
                }
                else {
                    v4.append('=');
                }
            }
        }
 
        return v4.toString();
    }
}

so层的加密函数Java_com_a_easyjni_MainActivity_ncheck,最后比较的字符串是"MbT3sQgX039i3gAQOoMQFPskB1Bsc7",
这个也就是我们输入的字符串通过2次加密之后的结果;
这里面的加密逻辑比较简单,就是前16位和后16位互换,然后第i位和i+1位互换,i位偶数和0,也就是0、1互换,2、3互换,4、5互换。。。;
前后16位互换之后 : AQOoMQFPskB1Bsc7MbT3sQgX039i3g
然后i和i+1位互换后:QAoOQMPFks1BsB7cbM3TQsXg30i9g3==

signed int __fastcall Java_com_a_easyjni_MainActivity_ncheck(JNIEnv *a1, int a2, int key)
{
  int v3; // r8
  JNIEnv *v4; // r5
  int v5; // r8
  const char *v6; // r6
  int v7; // r0
  char *v8; // r2
  char v9; // r1
  int v10; // r0
  bool v11; // nf
  unsigned __int8 v12; // vf
  int v13; // r1
  signed int result; // r0
  char s1[32]; // [sp+3h] [bp-35h]
  char v16; // [sp+23h] [bp-15h]
  int v17; // [sp+28h] [bp-10h]
 
  v17 = v3;
  v4 = a1;
  v5 = key;
  v6 = ((*a1)->GetStringUTFChars)(a1, key, 0);
  if ( strlen(v6) == 32 )
  {
    v7 = 0;
    do
    {
      v8 = &s1[v7];
      s1[v7] = v6[v7 + 16];
      v9 = v6[v7++];
      v8[16] = v9;                              // s1前16位=key后16位
    }                                           // s1后16位=key前16位
    while ( v7 != 16 );
    ((*v4)->ReleaseStringUTFChars)(v4, v5, v6);
    v10 = 0;
    do
    {
      v12 = __OFSUB__(v10, 30);                 // v10-30是否溢出
      v11 = v10 - 30 < 0;
      v16 = s1[v10];
      s1[v10] = s1[v10 + 1];
      s1[v10 + 1] = v16;
      v10 += 2;                                 // s[i]和s[i+1],i为0和偶数,互换位置,就是0和1、2和3、4和5互换;
    }
    while ( v11 ^ v12 );
    v13 = memcmp(s1, "MbT3sQgX039i3g==AQOoMQFPskB1Bsc7", ' '); //这里比较判断,也就是加密字符串是"MbT3sQgX039i3g==AQOoMQFPskB1Bsc7"
    result = 0;
    if ( !v13 )
      result = 1;
  }
  else
  {
    ((*v4)->ReleaseStringUTFChars)(v4, v5, v6);
    result = 0;
  }
  return result;
}

上面so里面解密出来的结果就是Java层传过去的值,也就是第4步得到的解密值就是第3步的加密函数的返回值:QAoOQMPFks1BsB7cbM3TQsXg30i9g3==
第3步前面也说过了就是一个换了码表的base64加密,拿我们的返回值解密之后就得到flag:flag{just_ANot#er_@p3}
解密代码:

import java.nio.ByteBuffer;
import java.nio.CharBuffer;
import java.nio.charset.Charset;
 
public class a {
 
    public static void main(String[] args) {
        char[] a = new char[]{'i', '5', 'j', 'L', 'W', '7', 'S', '0', 'G', 'X', '6', 'u', 'f', '1',
                'c', 'v', '3', 'n', 'y', '4', 'q', '8', 'e', 's', '2', 'Q', '+', 'b', 'd', 'k', 'Y',
                'g', 'K', 'O', 'I', 'T', '/', 't', 'A', 'x', 'U', 'r', 'F', 'l', 'V', 'P', 'z', 'h',
                'm', 'o', 'w', '9', 'B', 'H', 'C', 'M', 'D', 'p', 'E', 'a', 'J', 'R', 'Z', 'N'}; //自定义的码表
        String s ="QAoOQMPFks1BsB7cbM3TQsXg30i9g3==";//加密后的base64值
        byte[] bytes=s.getBytes();
        char[] b= getChars(bytes);
        int[] sy = new int[32];
        for(int i=0;i<b.length;i++){
            for (int j=0;j<a.length;j++){
                if(a[j]==b[i]){
                    sy[i]=j;                   //得到索引值
                    //System.out.println(sy[i]);
                }
            }
        }
        //每4位为一组进行移位和组合得到3位解密的flag
        byte[] bflag = new byte[32];
        int n=0;
        for(int m=0;m<sy.length-3;m+=4){
            bflag[n]=(byte)((sy[m]<<2)|(sy[m+1]>>4));     //bflag[0]
            bflag[n+1]=(byte)((sy[m+1]<<4)|(sy[m+2]>>2)); //bflag[1]
            bflag[n+2]=(byte)((sy[m+2]<<6)|(sy[m+3]));    //bflag[2]
            n+=3;
        }
        String flag =String.valueOf(getChars(bflag));
        System.out.println(flag);
 
    }
    public static char[] getChars(byte[] bytes) {
        Charset cs = Charset.forName("UTF-8");
        ByteBuffer bb = ByteBuffer.allocate(bytes.length);
        bb.put(bytes);
        bb.flip();
        CharBuffer cb = cs.decode(bb);
        return cb.array();
    }
 
 
}

又翻到了这个重新解了一遍,补充个代码:

import java.io.ByteArrayOutputStream;

public class test {
    public static void main(String[] args) throws Exception {
        String v12="MbT3sQgX039i3g==AQOoMQFPskB1Bsc7";
        char[] v5=new char[32];//flag

        //字符串转char[]
        char[] v12c=v12.toCharArray();

        //单双位互换
        for(int i=0;i<32;i+=2){
            char v13=v12c[i];
            v12c[i]=v12c[i+1];
            v12c[i+1]=v13;
        }
        System.out.println(String.valueOf(v12c));

        //前16位和后16位互换
        for (int j=0;j!=16;++j){
             v5[j + 16]=v12c[j];
            char v8=v12c[16+j];
            v5[j]=v8;
        }
        System.out.println(String.valueOf(v5));
        generateDecoder();
        System.out.println(new String(Base64Decode(String.valueOf(v5))));
    }

    private static final char[] Base64ByteToStr = new char[]{'i', '5', 'j', 'L', 'W', '7', 'S', '0', 'G', 'X', '6', 'u', 'f', '1', 'c', 'v', '3', 'n', 'y', '4', 'q', '8', 'e', 's', '2', 'Q', '+', 'b', 'd', 'k', 'Y', 'g', 'K', 'O', 'I', 'T', '/', 't', 'A', 'x', 'U', 'r', 'F', 'l', 'V', 'P', 'z', 'h', 'm', 'o', 'w', '9', 'B', 'H', 'C', 'M', 'D', 'p', 'E', 'a', 'J', 'R', 'Z', 'N'};

    //自定义码表base64解码
    private static byte[] StrToBase64Byte = new byte[128];
    private static final int RANGE = 0xff;
    private static byte[] Base64Decode(String val) throws Exception {
        ByteArrayOutputStream bos = new ByteArrayOutputStream();//destination bytes, valid string that we want
        byte[] srcBytes = val.getBytes();
        byte[] base64bytes = new byte[srcBytes.length];
        //get the base64 bytes (the value is -1 or 0 ~ 63)
        for(int i = 0; i <= srcBytes.length - 1; i++) {
            int ind = (int) srcBytes[i];
            base64bytes[i] = StrToBase64Byte[ind];
        }
        //base64 bytes (4 bytes) to normal bytes (3 bytes)
        for(int i = 0; i <= base64bytes.length - 1; i+=4) {
            byte[] deBytes = new byte[3];
            int delen = 0;// if basebytes[i] = -1, then debytes not append this value
            byte tmp ;
            for(int k = 0; k <= 2; k++) {
                if((i + k + 1) <= base64bytes.length - 1 && base64bytes[i + k + 1] >= 0) {
                    tmp = (byte) (((int)base64bytes[i + k + 1] & RANGE) >>> (2 + 2 * (2 - (k + 1))));
                    deBytes[k] = (byte) ((((int) base64bytes[i + k] & RANGE) << (2 + 2 * k) & RANGE) | (int) tmp);
                    delen++;
                }
            }
            for(int k = 0; k <= delen - 1; k++) {
                bos.write((int)deBytes[k]);
            }
        }
        return bos.toByteArray();
    }

    private static void generateDecoder() throws Exception {
        for(int i = 0; i <= StrToBase64Byte.length - 1; i++) {
            StrToBase64Byte[i] = -1;
        }
        for(int i = 0; i <= Base64ByteToStr.length - 1; i++) {
            StrToBase64Byte[Base64ByteToStr[i]] = (byte)i;
        }
    }
}
Android逆向小菜鸡
关注
专栏目录
安卓逆向题目app1.apk
04-12
安卓逆向
Android逆向题解1-app1
u013170888的博客
04-12 397
这个很简单,就是拿versionName和versionName进行异或操作就可以了,versionName和versionName在AM里面设置; protected void onCreate(Bundle arg3) { super.onCreate(arg3); this.setContentView(0x7F04001B); this.bt...
Android逆向题解6-黑客精神
u013170888的博客
04-12 730
看代码是要先注册,先调doRegister注册,判断已注册再调work doRegister跳到RegActivity 输入内容传到saveSN saveSN是个native方法,这里还看到了work也是native方法,就是核心代码都在so里 下面来分析so 直接看导出函数没找到saveSN和work,那应该是动态注册的 直接看JNI_OnLoad,确实是动态注册的,n1就是initSN,n2是...
猿人学2022安卓逆向对抗比赛第五题分析
Steven的杂货铺
07-09 1361
双向认证,那么就需要有证书了,打开APP后看看 在assets 文件夹中 是否有证书 确实可以看到有一个客户端的证书,是.bks 的那么r0ysue大佬的 r0capture 依旧可以排上用场,直接可以dump 下来.p12的证书 到手机的 SDcard/Download 目录下,密码为r0ysue然后发现竟然卡住了。。。。。证书也没有dump下来。。。。那就换一种思路呗。。。。。 密钥获取成功 = > : MZ4cozY8Qu32UzGe 然后通过Charles 进行 导入证书然后我又开始怀疑人生
xctf----easyjni
qq_41071646的博客
01-22 1477
这个题 也不算是难题把 就是可能要静下心来好好的观察一下把 先看 一下反编译的结果 然后 这里调用了 Main 的 a方法 我们去看一下 这里 参数是经过com/a/easyjni/a 这个包里的 a 方法 然后跟进去 这不用说了 一看就知道了 是变形的base64 这里我们知道了 是我们输入的字符 经过变形的base64 加密 然后...
c语言-leetcode题解03-longest-substring-without-repeating-characters
09-27
c语言入门 c语言_leetcode题解03-longest-substring-without-repeating-characters
js-leetcode题解之-add-two-numbers.js
最新发布
10-12
js js_leetcode题解之-add-two-numbers.js
c语言-leetcode题解541-reverse-string-ii.c
09-27
c语言入门 c语言_leetcode题解541-reverse-string-ii.c
c语言-leetcode题解539-minimum-time-difference.c
09-27
c语言入门 c语言_leetcode题解539-minimum-time-difference.c
c语言-leetcode题解486-predict-the-winner.c
09-26
c语言入门 c语言_leetcode题解486-predict-the-winner.c
【XCTF-Mobile】新手练习区-05-easyjni.apk
08-05
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjni
XCTF_MOBILE7_easyjni
一个热爱逆向,喜爱学习、分享的猿。
12-30 529
初识 附件为一个apk,先拖到模拟器看看,结果报错: 百度一下错误信息,原因是:安装的APP中使用了与当前CPU架构不一致的native libraries。 我的CPU是Intel的,为了模拟器运行速度快,我创建的模拟器使用的是x86指令集: 而一般手机都是ARM指令集的,所以我重新创建了一个ARM指令集的模拟器: 在这个新模拟器下,apk就能成功安装了。 apk的主界面如下: 随便输入一个字符串,点击CHECK,结果为: 直接运行程序,我们能获得的信息就...
第34天:攻防世界-Mobile—easyjni
S1lenc3的博客
12-03 886
感觉以前写的writeup杂乱无章,没有特定标题,今天学了一手,希望写的越来越好吧。 工具 神器JEB IDA 知识点 官方名也不会叫,就是加载库文件。 Base64替换密码表 简单算法分析 程序流程 一、java代码分析 先看onCreate函数,关键就是调用aa()方法然后判断。 aa()方法内调用了a1()方法。 a1方法会返回布尔值,这个值也...
使用telnet发送email(内嵌图片,附件)
热门推荐
hellopeng1的博客
11-09 93万+
使用telnet发送email(内嵌图片,附件)因为最近想复习一下smtp协议所以无聊的本人想使用telnet发送email,虽然比较简单但还是记录下来希望可以给一些需要的朋友帮助吧。准备: 首先本人实在windows系统上进行的test,目前大多数windows系统不会开启telnet功能, 如果还未开启telnet功能请先在”控制面板”-“程序和功能”-“打开或关闭windows功能”中将t
安卓逆向_6 --- ndk开发jnijni静态注册、jni_onload动态注册
freeking101的博客
03-05 3165
JNI 全称是Java Native Interface,为Java本地接口,并提供了若干的 API 连接Java层与Native层。JNI 相当于一个桥梁,实现了 Java 和 C++ 之间互相访问调用。 在 Android 进行 JNI 开发时,可能会遇到 couldn't find "xxx.so" 问题,或者内存泄漏问题,或者JNI 底层崩溃问题。Java 层如何调用 Native 方法?Java 方法的参数如何传递给 Native层?而 Native 层又如何反射调用 Java 方法
西普实验吧部分逆向题writeup(二)
caterpillarous的博客
12-24 4925
本博客已经弃用,我的新博客地址:http://jujuba.me/ 1.考验你能力的时候到了老规矩 PEID查壳 显示什么也没找到 先别管 拖到OD里搜索字符串看看可以发现最上面的字符串,其实挺像KEY的,输入试试,发现这个并不是KEY。进入字符串“这就是我要的flag!!!”上方下个断点,先让程序跑一下,然后断下来开始单步调试单步了几下发现一个字符串的处理,我输入的是“1234”注意左上角的EA...
Android逆向新手答疑解惑篇——JNI与动态注册
zhangmiaoping23的专栏
02-26 1613
转:https://bbs.pediy.com/thread-224672.htm看雪专栏:https://zhuanlan.kanxue.com/user-715510.htmAndroid逆向新手答疑解惑篇——JNI与动态注册何为JNIJNI全称为Java Native Interface,是使Java方法与C\C++函数互通的一座桥梁。通俗的讲,它的作用就是使Java可以调用C\C++写的函...
2021CISCN-Re-glass
m0_51713041的博客
06-20 196
glass 将so文件拖入IDA进行分析: Java_com_ciscn_glass_MainActivity_checkFlag函数 bool __fastcall Java_com_ciscn_glass_MainActivity_checkFlag(int a1, int a2, int a3) { char *input; // r4 int key_len; // r5 char key[256]; // [sp+0h] [bp-220h] BYREF char v7[260];
Android NDK程序逆向分析-非虫笔记
王嘟嘟的博客
12-19 1095
Android NDK程序逆向分析1.说明1.1 android平台不止可以用Java语言进行编写,Google凭借Java语言的JNI特性为开发者提供了Android NDK。1.2 android NDK意为”安卓原生开发套件”1.3 优势在于提高性能以及提高安全性,也就是我们之后说的.so文件里。2.android中的原生程序2.1 android NDL从R8版本开始,支持x86,MIPS、
东方博宜oj题解1300-1400
07-15
《东方博宜oj题解1300-1400》这本书可能是针对某一个在线编程竞赛平台(如LeetCode、Codeforces等)中1300到1400难度级别的题目而编写的解答书籍。在这个范围内,通常会包含一系列算法、数据结构以及数学问题的解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Android逆向小菜鸡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值