dex字符串解密_[原创]通过CTF学习Android漏洞(炸弹引爆+dex修复)

最新推荐文章于 2021-01-12 09:48:49 发布
最新推荐文章于 2021-01-12 09:48:49 发布
阅读量719 收藏
点赞数
文章标签: dex字符串解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39994438/article/details/111555696
版权
本文分享了一次Android CTF比赛的解题过程,涉及炸弹引爆和DEX修复两个关键点。通过分析APK文件,解密隐藏在CERT.RSA中的DEX数据,然后修复DEX header和onCreate方法,最终找到flag。
摘要由CSDN通过智能技术生成

0x00 说明

刷android ctf题,感觉涉及的点不错,分享一下做题过程。

题目:

2015 RCTF / 攻防世界高手区 where

描述(提示):

Where is the flag.(The flag should include RCTF{})

hint:where is body

hint2: the KEY is visible strings, -k -nosalt

涉及的漏洞点:

1、炸弹引爆

2、dex修复

0x01 漏洞简析

1、炸弹引爆

“炸弹引爆”,先将恶意代码作为炸弹,隐藏在手机设备之中,然后再使用引爆器来点燃隐藏炸弹。

这道题的隐藏点是/META-INFO文件夹中,关于隐藏点看如下图

详细介绍参考:https://www.blackhat.com/ldn-15/summit.html#what-can-you-do-to-an-apk-without-its-private-key-except-repacking

2、dex修复

dex修复首先要了解dex格式

header : DEX 文件头,记录了一些当前文件的信息以及其他数据结构在文件中的偏移量

string_ids : 字符串的偏移量

type_ids : 类型信息的偏移量

proto_ids : 方法声明的偏移量

field_ids : 字段信息的偏移量

method_ids : 方法信息(所在类,方法声明以及方法名)的偏移量

class_def : 类信息的偏移量

data : : 数据区

link_data : 静态链接数据区

这道题重点是 header、string_ids、type_ids

dex修复我的理解就是格式对应清楚就可以进行修复,具体的结构可以查看android源码

0x02 逻辑分析

1、查看apk

java层没有flag,但是指向了assets和META-INF文件夹

(1)assets/abc

这是dex header 大小是112,dex总大小是1395184,dex body大小是 1395072 = 1395184-112

基本上这道题的思路就出来了,按漏洞点的思路找到隐藏的dex

(2)META-INF/CERT.RSA

CERT.RSA的大小是很有问题的,这里应该是隐藏了代码,看大小应是dex body

按照漏洞点隐藏代码应该是追加在CERT.RSA尾部

CERT.RSA大小是1396394-1395072 = 1322(0x52A)

在0x52A附近可以找到如下线索

尾部发现:

KEY=Misc@inf0#fjhx11

DEX=

aes-128-cbc

根据题目的提示,DEX=之后的信息应该是dex body,需要是openssl进行解密获得真正的body

openssl enc -d -aes-128-cbc -in body -out decrypted -k 'Misc@inf0#fjhx11' -nosalt

解密前:encode_body

解密后:decode_body

(3)META-INF/y

暂时看不出用处 大小是 0x93

2、dex修复还原

(1)dex header+body

将abc和decode_body拼接之后,发现文件无法进行反编译,原因是dex header中string_ids、type_ids值是0

修复前

修复后

(2)dex2jar

m3ll0t_yetFLag 不是正确的flag

/* access modifiers changed from: protected */

public void onCreate(Bundle bundle) {

throw new VerifyError("bad dex opcode");

}

说明onCreate方法有问题

CODE:00097390 # Source file: MainActivity.java

CODE:00097390 protected void com.example.hello.MainActivity.onCreate(

CODE:00097390 android.os.Bundle savedInstanceState)

CODE:00097390 this = v6

CODE:00097390 savedInstanceState = v7

CODE:00097390 0000 nop

CODE:00097392 .prologue_end

CODE:00097392 .line 15

CODE:00097392 0000 nop

CODE:00097394 0000 nop

CODE:00097396 0000 nop

CODE:00097398 .line 16

CODE:00097398 0000 nop

CODE:0009739A 0000 nop

CODE:0009739C 0000 nop

CODE:0009739E 0000 nop

CODE:000973A0 0000 nop

CODE:000973A2 0000 nop

CODE:000973A4 .line 17

CODE:000973A4 0000 nop

CODE:000973A6 0000 nop

CODE:000973A8 0000 nop

CODE:000973AA 0000 nop

CODE:000973AC 0000 nop

CODE:000973AE 0000 nop

CODE:000973B0 0000 nop

CODE:000973B2 .local name:'strb' type:'Ljava/lang/StringBuilder;'

CODE:000973B2 strb = v1

CODE:000973B2 .line 18

CODE:000973B2 0000 nop

CODE:000973B4 0000 nop

CODE:000973B6 0000 nop

CODE:000973B8 0000 nop

CODE:000973BA 0000 nop

CODE:000973BC 0000 nop

CODE:000973BE .line 19

CODE:000973BE 0000 nop

CODE:000973C0 0000 nop

CODE:000973C2 0000 nop

CODE:000973C4 0000 nop

CODE:000973C6 0000 nop

CODE:000973C8 0000 nop

CODE:000973CA 0000 nop

CODE:000973CC .line 20

CODE:000973CC 0000 nop

CODE:000973CE 0000 nop

CODE:000973D0 0000 nop

CODE:000973D2 0000 nop

CODE:000973D4 0000 nop

CODE:000973D6 0000 nop

CODE:000973D8 0000 nop

CODE:000973DA 0000 nop

CODE:000973DC 0000 nop

CODE:000973DE .line 21

CODE:000973DE 0000 nop

CODE:000973E0 0000 nop

CODE:000973E2 0000 nop

CODE:000973E4 0000 nop

CODE:000973E6 0000 nop

CODE:000973E8 0000 nop

CODE:000973EA 0000 nop

CODE:000973EC 0000 nop

CODE:000973EE .line 22

CODE:000973EE 0000 nop

CODE:000973F0 0000 nop

CODE:000973F2 0000 nop

CODE:000973F4 0000 nop

CODE:000973F6 .local name:'flag' type:'Ljava/lang/String;'

CODE:000973F6 flag = v0

CODE:000973F6 .line 23

CODE:000973F6 0000 nop

CODE:000973F8 0000 nop

CODE:000973FA 0000 nop

CODE:000973FC 0000 nop

CODE:000973FE 0000 nop

CODE:00097400 0000 nop

CODE:00097402 0000 nop

CODE:00097404 0000 nop

CODE:00097406 0000 nop

CODE:00097408 0000 nop

CODE:0009740A 0000 nop

CODE:0009740C 0000 nop

CODE:0009740E 0000 nop

CODE:00097410 0000 nop

CODE:00097412 0000 nop

CODE:00097414 0000 nop

CODE:00097416 0000 nop

CODE:00097418 0000 nop

CODE:0009741A 0000 nop

CODE:0009741C 0000 nop

CODE:0009741E 0000 nop

CODE:00097420 0000 nop

CODE:00097422 .line 24

CODE:00097422 0000 nop

CODE:00097422 Method End

CODE:00097422 # ---------------------------------------------------------------------------

(3)修复onCreate

onCreate的大小是 0x97423 - 0x97390 = 0x93 正好和 META-INF/y大小相似,将y填充到onCreate方法中

找到0x97390在dex中的位置

将y进行填充

dex2jar之后

最后得到根据代码获取flag

public String seed = "m3ll0t_yetFLag";

/* access modifiers changed from: protected */

public void onCreate(Bundle bundle) {

super.onCreate(bundle);

setContentView((int) R.layout.activity_main);

StringBuilder sb = new StringBuilder(this.seed);

sb.replace(0, 1, "h");

sb.replace(5, 6, "2");

sb.replace(10, 11, "f");

sb.replace(7, 8, "G");

Toast.makeText(this, "flag is " + sb.toString(), 0).show();

}

0x03 总结

1、简单修复dex header

2、简单修复onCreate

3、修复过程中的文件在附件中

4、了解一个android漏洞

最后于 2020-3-5 18:21

被neilwu编辑

,原因: 修正

上传的附件:

dex2-d2j.jar

(789.50kb,8次下载)

y

(0.14kb,8次下载)

dex1-d2j.jar

(789.12kb,8次下载)

encode_body

(1.33MB,9次下载)

decode_body

(1.33MB,8次下载)

abc

(0.11kb,8次下载)

weixin_39994438
关注
dex字符串解密_DEX文件混淆加密
weixin_39664456的博客
12-20 3120
现在部分 app 出于安全性(比如加密算法)或者用户体验(热补丁修复bug)会考虑将部分模块采用热加载的形式 Load。所以针对这部分的 dex 进行加密是有必要的,如果 dex修复的加密算法,你总不想被人一下就反编译出来吧。当然也可以直接用一个加密算法对 dex 进行加密,Load 前进行解密就可以了,但是最好的加密就是让人分不清你是否加密了。一般逆向过程中拿到一个可以直接反编译成 java...
dex字符串解密_Dex加密(上)
weixin_39888807的博客
12-20 3222
App通常都会做混淆防止别人反编译,即使反编译出来也是a、b、c这种,但是这种还是会被一些有心的人还原代码,这样我们需要给dex加密,这样别人就不容易反编译。效果:别人是没办法看见主工程的代码只能看见解密工程的java代码,因为解密是在C中实现的,所以密钥和解密方法都还是安全的。APK本质就是一个zip压缩包,解压之后包含AndroidManifest.xml、class.dex、resource...
dex字符串解密_字符串加密解密
weixin_39627408的博客
12-20 873
源代码:import java.util.*;public class lizi {public static void main( String args[] ){String str1,str2;Scanner reader=new Scanner(System.in);System.out.println("输入密码:");str1=reader.next();char[] arrey=ne...
替换空格 - leetCode
u011567589的博客
09-12 146
请实现一个函数,把字符串 s 中的每个空格替换成"%20"。 示例 1: 输入:s = “We are happy.” 输出:“We%20are%20happy.” 解题思路: 1.先通过方法x.length()获取该字符串的长度; 2.创建一个新的数组,用来放置新生成的字符串,默认的数组长度为字符串的3倍。 3.初始化 size 为 0,size 表示替换后的字符串的长度 从左到右遍历字符串 s 获得 s 的当前字符 c 4.如果字符 c 是空格,则令 array[size] = ‘%’,array[si
Android-一款自动对dex文件中的字符串进行加密Android插件工具
08-12
使用StringFog插件自动对 dex 中的字符串进行加密
dex字符串解密_GitHub - zhoushuntong/DexEncryptionDecryption: APK 加固 dex 加密,解密 学习项目...
weixin_29061509的博客
12-29 1773
简介现在随意在应用市场下载一个 APK 文件然后反编译,95% 以上基本上都是经过混淆,加密,或第三方加固(第三方加固也是这个原理),那么今天我们就对 Dex 来进行加密解密。让反编译无法正常阅读项目源码。加密后的结构APK 分析通过 AS 工具分析加密后的 APK 文件,查看 dex 是报错的,要的就是这个效果。反编译效果想要对 Dex 加密 ,先来了解什么是 64 K 问题想要详细了解 64 ...
dex字符串解密_DEX文件解析--3、dex文件字符串解析
weixin_39786141的博客
12-20 960
一、前言PS:前几天检查文件夹的时候发现DEX文件解析还只写了开头,正好找点事情来做,就去接着解析DEX文件其余部分了。。。。。(还得多亏了一波疫情,不然都忘了还有这回事了。。。)二、DEX文件中的字符串1、DEX文件大致上可以粗略的分为3个部分:文件头、索引区以及数据区。而文件头一般来说占了整个DEX文件0x70个字节(还不了解DEX文件头的可以看一下我前面两篇文章),在文件头中,关于字符串的相...
dex字符串解密_某Xposed微信群发工具dex解密分析
weixin_39809140的博客
12-20 1332
jadx载入寻找xposed_init文件中定义的xposed程序的入口,发现主体只有如下三个函数,那猜想真正的hook函数被加密存储了,执行时通过dexClassloader动态加载执行public class XposedEntry implements IXposedHookLoadPackage {private static final String enDexName = "appco...
Dex文件提取字符串
05-09
提取Dex文件的字符串,已过滤系统函数字符串 添加系统函数过滤 添加LEB128长度计算 修正多字节字符显示不完整
dex字符串解密_De-obfuscation反混淆_解密字符串_ jeb script
weixin_39977488的博客
01-12 1368
小技巧(1) 如果混淆的类名中出现过于复杂的Aeabffdccdac这种类型的类名,明显是经过手动更改的,所以有可能就是恶意的软件,因为大部分正规开发这只用商用的混淆器,混淆成 (a, b, c, etc.) 这种,不会过于复杂https://rednaga.io/images/hacking-with-dex-oracle-for-android-malware-deobfuscation/cl...
字符串加/解密软件
04-12
用basic编译成的,小巧的字符串加/解密软件,适用于任何系统,只要输入加/解密文件和密码即可。
java实现dex文件方法字节码隐藏
05-01
基于一个dex文件解析程序修改而成,指定要隐藏的方法的sig即可。
混淆java隐藏源码-hidex-hack:通过hackdex文件反反向
06-06
混淆java隐藏源码 hidex-hack 0x00 简介 现在部分 app 出于安全性(比如加密算法)或者用户体验(热补丁修复bug)会考虑将部分模块采用热加载的形式 Load。 所以针对这部分的 dex 进行加密是有必要的,如果 dex修复的加密算法,你总不想被人一下就反编译出来吧。 当然也可以直接用一个加密算法对 dex 进行加密,Load 前进行解密就可以了,但是最好的加密就是让人分不清你是否加密了。 一般逆向过程中拿到一个可以直接反编译成 java 源码的 dex 我们很可能就认为这个 dex 文件是没有加密可以分析的。 该工具主要功能实现了隐藏dex文件中关键的代码,包括静态变量的隐藏,函数的隐藏,以及整个类的隐藏,从而达到混淆的效果。 混淆后的 dex 文件可以通过像 dex2jar jade 等工具的反编译。 java 效果对比: smali 效果对比: 0x01 项目模块 项目分为四个模块: hidex-demo: 为主 module,作为测试 demo。 hidex-samp: 为 library module 也就是需要编译成加密 dex 的模块。 hidex
StringFog插件对Dex字符串加密原理解析
MegatronKings的博客
03-18 6342
在绝大多数的Android应用当中,很多隐私信息都是以字符串的形式存在的,比如接入的第三方平台的AppId、AppSecret,又比如接口地址字段等等,这些一般都是明文存在的。如果我们能在打包时对Dex中的字符串加密替换,并在运行时调用解密,这样就能够避免字符串明文存在于Dex中。虽然,无法完全避免被破解,但是加大了逆向提取信息的难度,安全性无疑提高了很多。
DEX文件解析--3、dex文件字符串解析
windy_ll的博客
04-04 674
一、前言    前两篇文章链接:     1、DEX文件头解析     2、DEX文件校验和解析    PS:前几天检查文件夹的时候发现DEX文件解析还只写了开头,正好找点事情来做,就去接着解析DEX文件其余部分了。。。。。(还得多亏了一波疫情,不然都忘了还有这回事了。。。) 二、DEX文件中的字符串     1、DEX文件大致上可以粗略的分为3个部分:文件头、索引区以及数据区。而文件头一般来说...
De-obfuscation反混淆_解密字符串_ jeb script
github_38641765的博客
10-08 1951
小技巧 (1) 如果混淆的类名中出现过于复杂的Aeabffdccdac这种类型的类名,明显是经过手动更改的,所以有可能就是恶意的软件,因为大部分正规开发这只用商用的混淆器,混淆成 (a, b, c, etc.) 这种,不会过于复杂 导出Jar包流程,简单的jeb脚本 eclipse配置jeb.jar包教程 import jeb.api.IScript; imp...
dex 文件文件简单解析
qixin的博客专栏
07-12 1177
什么是dex文件 能够被dvm识别,加载并执行的文件格式。 如何生成dex文件(Android,c,c++) IDE自动生成 手动通过dx命令去生成dex文件 将:sdkdir/buildtools/sdkversions 配置到环境变量,就可以使用dx命令了。 $ dx --dex -- output Hello.dex Hello.class 电脑上不能执行 把Hello.dex p...
github上传_如何上传自己的代码到Github
weixin_39816448的博客
11-30 163
在经过上一篇文章对于Git的讲解飞奔的猫熊:Git使用入门​zhuanlan.zhihu.com我们在这篇文章中简单讲述一下如何将自己的文件传送到github新建的repository中,文章主要参考三只要有你:如何上传本地代码到github​zhuanlan.zhihu.com中讲解方法,其中的代码其实我们已经在Git使用入门中已经讲解完毕了.那么我们需要初始化一个文档,这个文档可以是原先编程文...
关于DEX字节码解释的网址
WeiFengZhiMo的博客
12-19 884
http://www.netmite.com/android/mydroid/dalvik/docs/dalvik-bytecode.html Dalvik字节码解析/指令的位描述表 http://www.netmite.com/android/mydroid/dalvik/docs/instruction-formats.html Dalvik字节码解析/指令的语法格式表
Android 10+ App性能优化:手动触发dex2oat实战
"Android性能优化之Android10+dex2oat实践" 在Android应用程序的性能优化领域,dex2oat是一个关键的组件,它在Android运行时起着至关重要的作用。dex2oat是一个用于对Dex文件进行优化和编译的工具,目标是提高Dex的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值