android中级,【2021春节】Android中级题

最新推荐文章于 2024-06-16 00:52:46 发布
最新推荐文章于 2024-06-16 00:52:46 发布
阅读量229 收藏
点赞数
文章标签: android中级
本文通过一系列工具,如ApkScan-PKID、jadx、IDA Pro和frida,详细介绍了如何对APK进行逆向分析。在分析过程中,作者发现了输入验证、加密函数以及对比值,并利用hook技术获取了加密和解密过程中的关键信息。最终,通过异或操作还原了原始字符串,成功解密出隐藏的FLAG。
摘要由CSDN通过智能技术生成

逆向之前需要准备以下一些工具

1.ApkScan-PKID(用于apk查壳)

2.jadx-gui-1.2.0(用于反编译apk)

3.IDA_Pro_v7.0(用于静态分析so文件)

4.python(运行frida注入js代码)

首先打开ApkScan-PKID,将待分析的apk拖进去,发现没有加固

55fd2b2273b5a8b4531f72773c469d6e.gif

0.jpg (33.28 KB, 下载次数: 0)

2021-3-5 11:08 上传

那么就可以直接拉进jadx进行反编译,安装好apk后随便输入一个值,会提示【flag格式错误,请重试】

55fd2b2273b5a8b4531f72773c469d6e.gif

0.png (72.34 KB, 下载次数: 0)

2021-3-5 11:10 上传

那么就在jadx中搜索这个字符串,可以找到在【cn.pojie52.cm01.MainActivity】这个类下

55fd2b2273b5a8b4531f72773c469d6e.gif

1.jpg (111.85 KB, 下载次数: 0)

2021-3-5 11:12 上传

这里可以看到检测了输入的文本长度是否等于30,如果不是一律显示【flag格式错误,请重试】。长度是30的时候,会调用这个类下的check方法,如果返回真,则flag正确

但是这里的check方法是一个native函数,方法体在libnative-lib.so中,那么接着用ida分析这个so。ida加载so后,加载jni.h分析头文件,查看导出函数,发现是一个静态注册的方法

55fd2b2273b5a8b4531f72773c469d6e.gif

2.jpg (19.03 KB, 下载次数: 0)

2021-3-5 11:24 上传

双击进入这个函数,然后按F5转换为伪C代码,大概浏览一下,发现有一个与处级题中相似的结构

55fd2b2273b5a8b4531f72773c469d6e.gif

3.jpg (32.82 KB, 下载次数: 0)

2021-3-5 11:36 上传

也就是说只要拿到v11与v27,就可以知道在对比什么了。首先分析v11,网上可以看到,输入的内容经过sub_B90和sub_D90两个函数以后,就得到了v11

55fd2b2273b5a8b4531f72773c469d6e.gif

4.jpg (57.3 KB, 下载次数: 0)

2021-3-5 11:41 上传

那么首先来hook一下这两个函数

python代码

[Python] 纯文本查看 复制代码import frida

import sys

def message(message, data):

pass

with open('jscode.js', 'r', encoding='utf-8') as f:

jscode = f.read()

process = frida.get_remote_device().attach('cn.pojie52.cm01')

script = process.create_script(jscode)

script.on("message", message)

script.load()

sys.stdin.read()

js代码

[JavaScript] 纯文本查看 复制代码function main() {

Java.perform(function (){

var libnative = Module.findBaseAddress("libnative-lib.so");

console.log("libnative: " + libnative);

var sub_B90 = libnative.add(0xB90);

var sub_B90arge0;

console.log("sub_B90: " + sub_B90);

Interceptor.attach(sub_B90, {

onEnter: function(args){

console.log("sub_B90 onEnter");

sub_B90arge0 = args[0];

console.log("参数1:");

console.log(Memory.readCString(args[0]));

console.log("参数2:");

console.log(args[1].toInt32());

console.log("参数3:");

console.log(Memory.readCString(args[2]));

},

onLeave: function(){

console.log("sub_B90 onLeave");

console.log("运算结果");

console.log(Memory.readByteArray(sub_B90arge0, 30));

}

});

var sub_D90 = libnative.add(0xD90);

console.log("sub_D90: " + sub_D90);

Interceptor.attach(sub_D90, {

onEnter: function(args){

console.log("sub_D90 onEnter");

console.log("参数1:");

console.log(Memory.readByteArray(args[0], 30));

console.log("参数2:");

console.log(args[1].toInt32());

},

onLeave: function(retval){

console.log("sub_D90 onLeave");

console.log("运算结果");

console.log(Memory.readCString(retval));

}

});

})

}

main();

开启hook脚本后,随意输入30位字符,例如【111112222233333444445555566666】,可以得到下面内容

55fd2b2273b5a8b4531f72773c469d6e.gif

5.jpg (40.68 KB, 下载次数: 0)

2021-3-5 11:59 上传

可以看到sub_B90对输入的内容进行了加密,而sub_D90实际是一个base64编码。接下来看看v27,v27没有比较好的函数可以hook,那么就需要考虑hook寄存器的值

回到一开始汇编指令的图,找到进行对比前面的汇编指令

55fd2b2273b5a8b4531f72773c469d6e.gif

6.jpg (135.42 KB, 下载次数: 0)

2021-3-5 12:36 上传

这里还需要设置显示汇编指令的地址,教程链接:https://blog.csdn.net/weixin_45780275/article/details/109600482

此时可以看到汇编指令的地址是【B34】,同时我们需要的是x9寄存器的值

55fd2b2273b5a8b4531f72773c469d6e.gif

7.jpg (24.53 KB, 下载次数: 0)

2021-3-5 12:37 上传

js代码

[JavaScript] 纯文本查看 复制代码function main() {

Java.perform(function (){

var libnative = Module.findBaseAddress("libnative-lib.so");

console.log("libnative: " + libnative);

//获取flag加密后的内容

var LDRB = libnative.add(0xB30);

send("LDRB: " + LDRB);

Interceptor.attach(LDRB, {

onEnter: function(args){

send("LDRB onEnter");

console.log(Memory.readCString(this.context.x9));

}

});

})

}

main();

继续输入30位字符进行hook,就可以得到进行对比的值【5Gh2/y6Poq2/WIeLJfmh6yesnK7ndnJeWREFjRx8】

55fd2b2273b5a8b4531f72773c469d6e.gif

8.jpg (6.74 KB, 下载次数: 0)

2021-3-5 12:41 上传

也就是说,我们输入的字符串是正确的,那么经过sub_B90加密,然后base64编码,应该是要与前面的值完全一样,这时重点就来到了sub_B90函数

进入sub_B90函数,大致浏览一下,a1就是我们输入的字符串,然后a1赋值给了v4,而v4只有一个地方进行了异或变化

55fd2b2273b5a8b4531f72773c469d6e.gif

9.jpg (63.45 KB, 下载次数: 0)

2021-3-5 12:46 上传

既然是异或,那么就好解决很多了,因为我们已经拿到了异或后的结果,如果能知道异或的内容是什么,就可以直接拿到异或前的内容了

那么就直接hook这条异或的汇编指令,可以看到汇编指令的地址是【D58】,需要的寄存器是x12

js代码

[JavaScript] 纯文本查看 复制代码function main() {

Java.perform(function (){

var libnative = Module.findBaseAddress("libnative-lib.so");

console.log("libnative: " + libnative);

// 获取异或的字节,开了会报错,但是可以获取

var ishook = true;

var EOR = libnative.add(0xD58);

var eor = [];

var eorlen = 0;

send("EOR: " + EOR);

Interceptor.attach(EOR, {

onEnter: function(args){

if (ishook){

if (eorlen < 30){

eor.push(this.context.x12);

eorlen += 1;

}else{

ishook = false;

console.log(eor);

}

}

}

})

})

}

main();

最后一次hook,但是这次hook会闪退,原因我也不知道,但是已经拿到了需要的内容

0xd1,0x5a,0x6,0x90,0x44,0xe6,0xc7,0xe5,0xde,0x28,0xf7,0xf2,0x66,0x91,0xc8,0x85,0x42,0xdf,0xf9,0xe0,0x82,0x1,0x2b,0x3b,0x38,0x63,0x37,0xbd,0x2e,0x4d

55fd2b2273b5a8b4531f72773c469d6e.gif

11.jpg (26.25 KB, 下载次数: 0)

2021-3-5 12:51 上传

这时可以用python进行异或还原

[Python] 纯文本查看 复制代码import base64

xordata = [0xd1,0x5a,0x6,0x90,0x44,0xe6,0xc7,0xe5,0xde,0x28,0xf7,0xf2,0x66,0x91,0xc8,0x85,0x42,0xdf,0xf9,0xe0,0x82,0x1,0x2b,0x3b,0x38,0x63,0x37,0xbd,0x2e,0x4d]

data = base64.b64decode('5Gh2/y6Poq2/WIeLJfmh6yesnK7ndnJeWREFjRx8'.encode())

flag = bytes([xordata[i] ^ data[i] for i in range(len(xordata))]).decode()

print(flag)

得到flag【52pojieHappyChineseNewYear2021】

输入apk里面尝试一下

55fd2b2273b5a8b4531f72773c469d6e.gif

1.png (82.94 KB, 下载次数: 0)

2021-3-5 12:54 上传

结果正确

培根悖论唠唠嗑
关注
五年Android开发者小米、阿里面经,Android面试及解析
m0_56004877的博客
03-22 188
前言 从去年底到前几天,不断被各路跳槽的朋友刺激着,他们都跟我说着同一件事:跳槽了,薪资翻倍了,去一家叫做字节跳动的公司了。 让我更加讶异的是一个在微博做移动开发的朋友跟我说他舍弃了年终奖,在春节之前就投入到这家公司的怀抱,这让我一度以为这个朋友是被传销了。 说实话,我内心早就被这些个朋友成功跳槽的消息撩拨的春心荡漾了,在这春色融融的夜晚我的代码也开始字节跳动了,今晚就跟大家分享下这些朋友们跳槽的故事。 目录: Java基础 Android中级面试 Kotlin相关 数据结构与算法 计算机网络 Fr
2021最新中高级Java面试目,Java面试汇总
m0_59092234的博客
08-01 1400
本人是底层211本科,刚毕业,科研经历,但是有些项经历。在国内监控行业某头部企业做过一段时间的实习。想着投下字节,可以积累下试经验和为金九银十面招做准备。投了简历之后,过了一段时间,HR就打电话跟我约时间,说明一下,我投的是北京office。以下就是一个面试的全部过程,分享出来给感兴趣的朋友们一看。...
学习练手_2021春节_安卓中级
WuYu_AS的博客
07-18 172
一 环境   手机:Pixel 1   系统:Android 8.1   软件:IDA 7.5、JADX   难度:简单   apk资源 链接:https://pan.baidu.com/s/1NX6EHrd4I8qi7PcBDVj0-w 提取码:gac7 二 分析流程      1.打开APP随机输入11223344556677 发现提示“flag格式错误,请重试”,         2.将APK拖入jadx中,直接搜索字符串“flag格式错误”,发现输入的flag的长度要求是30,而且关键的方法是
安卓逆向-加壳检测
Fairy
12-10 1390
安卓逆向-加壳检测 环境 Win10(虚拟机)、Java1.8 工具 ApkScan-PKID 步骤(已有java环境的省略一、二、三步) 一、下载Java1.8 链接: https://www.java.com/zh_CN/download/windows-64bit.jsp 二、安装java 记得修改保存路径 三、配置Java环境 1、 2、 3、 4、 5、 6、 JAVA_H...
ApkScan-PKID查壳工具+脱壳(搬运)
qq_42095701的博客
09-23 7579
Android APK 查壳工具免费通道:链接: https://pan.baidu.com/s/1rDfsEvqQwhUmep1UBLUwSQ 密码: wefd看众多小伙伴需要脱壳工具现在补上1.Zjdroid github:https://github.com/halfkiss/ZjDroid 原理分析:http://blog.csdn.net/jiangwei0910410003/art...
frida hook so层常用的方法
菜鸡小白的成长记录
03-06 4908
在onEnter回调函数中,我们使用Module.findExportByName()函数查找了目标进程中存储配置信息的全局变量的地址,然后使用readCString()方法读取了该地址所指向的字符串。在这个例子中,我们钩住了名为"decrypt"的解密函数,并从函数参数中获取了一个指向加密数据的指针,以及数据的长度。在onEnter回调函数中,我们从函数参数中获取了一个指向字符串的指针,并使用Memory.readCString()方法从目标进程中读取了该指针所指向的C风格字符串,并将其打印到控制台上。
BAT Android工程师面试流程解析+还原最真实最完整的一线公司面试
热门推荐
Tamic (大白)
07-24 1万+
目前由于BAT收到简历的巨大,在简历通过后,会通常进行技术的初步了解,就是所谓的电话面试。电话面试过了,就会安排我们去现场面试,   面试一般分为三轮或四轮,第一轮一般为笔试,二轮三轮一般为面试,四轮就是hr面试,笔试不是所有项目组都需要的,而是看你所面试部门的需求,当时我就没有进行笔试。
【JS 逆向百例】吾爱破解2022春节领红包之番外篇 Web 中级
m0_67392811的博客
03-06 213
关注微信公众号:K哥爬虫,持续分享爬虫进阶、JS/安卓逆向等技术干货! 文章目录 逆向目标 HLS 流媒体传输协议 SAZ 分析 JS 逆向 TS 解密合并转换 逆向目标 本次逆向的目标来源于吾爱破解 2022 春节领红包之番外篇 Web 中级,吾爱破解每年都会有派送红包活动(送吾爱币),需要大家使出看家逆向本领来分析内容获得口令红包,今年一共有五个,一个送分,两个 Windows 、一个 Android 和一个 Web ,本文分析的正是 Web ,吾爱有规定活动结束前..
GitHub标星5.8+!移动开发音视频学习路线指南
weixin_43901866的博客
01-05 886
最近经常遇到一些同学问我如何学习音视频,怎样才能快速上手?还有一些对音视频不了解的同学问我该不该学习音视频?作为一名音视频行业的10年老兵,我有一些思考分享给大家,希望能对你有所帮助。 大背景 2020年真的是一个多灾、多难的年份,冠状病毒的爆发使得本该举国欢庆的春节变得尤为沉闷。不能走亲,不能访友,除了呆在家里,那儿也不能去。正如张文宏大夫向我们劝解的,我们要将病毒给闷死。 大家都盼着疫情可以赶紧过去,早点恢复正常的生活。但从目前的情况看,短时间内这个疫情是很难结束的。这不刚从中国消停了一阵,又跑到海外大
PKiD(查壳).rar
11-28
ApkScan-PKID查壳工具.zip,可以查看安卓安装包是否有加壳,运气好的话,可能查到该壳是哪家公司的,方便后续脱壳测试
ApkScan-PKID查壳工具.zip
04-13
ApkScan-PKID查壳工具.zip,可以查看安卓安装包是否有加壳,运气好的话,可能查到该壳是哪家公司的,方便后续脱壳测试
native层函数没有导出时,如何获得相应函数地址?
学海无涯
05-26 689
每次App重新运行后native函数加载的绝对地址是会变化的,唯一不变的是函数相对于基地址的偏移,因此我们可以在获取模块的基地址后加上固定的偏移地址获取相应函数的地址,Frida中也正好提供了这种方式:先通过Module.findBaseAddress(name)或Module.getBaseAddress(name)两个API函数获取对应模块的基地址,然后通过add(offset)函数传入固定的偏移offset获取最后的函数绝对地址。以下使用中的作为具体案例讲解下思路和注意的点。
[安卓逆向]native hook 排查过程 关于Module.findBaseAddress(“x.so”) 返回null frida找不到so文件的解决办法
最新发布
zzxx191z的博客
06-16 365
通过包名找到进程号,然后通过进程号去找基地址。但是frida 的遍历地址在此之后。导致没有办法遍历到so文件。ps | grep 包名。给看见的小伙伴留个参考,
安卓逆向|菜鸟的FRIDA学习笔记:内存读写
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
07-12 6940
这是我自己的学习笔记,比较水,大佬勿喷。假设你的手机已经root,并已开启frida服务,电脑端已安装好Python,frida,IDA,GDA。样本地址:链接: https://pan...
安卓逆向之查脱壳操作
白帽子九一
04-25 3496
查脱壳操作 https://github.com/slimm609/checksec.sh --bash。用于检查可执行文件的属性。goodjob。 https://mp.weixin.qq.com/s/-ljFc5sBn9Sq92Pboy0SWQ --傻瓜式脱壳保姆级教学 http://www.legendsec.org/1888.html --pkid查壳工具,APK查壳工具PKID ApkScan-PKID。P:DetectItEasy;– https://github.com/rednaga/APK
170628 逆向-安卓查壳软件ApkDetecter安装
whklhhhh的博客
06-29 3089
1625-5 王子昂 总结《2017年6月28日》 【连续第269天总结】 A. 今天折腾了一天查壳和脱壳软件 脱壳在论坛上发现了使用IDA动态调试的教程,准备用adb跟着的时候发现模拟器是x86架构的,而IDA提供的android_server是arm指令集的,手头又没真机OTZ遂再等两天吧 惊喜的发现了一个查壳的工具ApkDetecter:https://github.com/Andy
android中级面试
03-31
1. 什么是Android系统?它的架构是什么? 2. Android应用程序的生命周期是什么? 3. Android中四大组件是什么?它们有什么作用? 4. 什么是Intent?它有哪些类型? 5. Android中的布局有哪些?它们有什么区别? ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值