android ctf 分析,[原创]记一道Android CTF题

最新推荐文章于 2023-08-04 18:28:14 发布
最新推荐文章于 2023-08-04 18:28:14 发布
阅读量605 收藏 2
点赞数
文章标签: android ctf 分析

一、题目

wmctf2020 reverse easy_apk

题目地址:

https://adworld.xctf.org.cn/match/contest_challenge?event=146&hash=684a58cc-1140-4937-99f2-ef347d777d9f.event

考查知识点:

1、算法识别

2、动态调试这道题之前有大佬在论坛发过,但是后来看不到了,这里记录一下个人做题的过程和遇到的问题,不喜勿喷。

二、解题过程

1、java层jadx

5d59d040440cadb8e23d6ec6d83b8371.png

jeb

f035165b6cf53149aa0af746cb841612.png

手机上有面具的可以新建个android工程,引入so进行调试

748d2670ca897bda9fbf95146dfaacc6.png

2、native层

(1)check方法定位方法一

静态分析 jnionload

修复前(未导入jni.h)

9f57c76478a848437867ee03318b73b4.png

修复后(导入jni.h)

579a0d107bab9cc31d97da196c6d59a6.png

查看methods

8653ef4bc924a5c7617eabf3b9e27fad.png

check->sub_10F00方法二

使用frida动态hook RegisterNatives

[RegisterNatives] java_class: com.WM.one.Native name: check sig: (Ljava/lang/String;)Z fnPtr: 0x72afe26f00 module_name: libnative-lib.so module_base: 0x72afe16000 offset: 0x10f00

(2)init_array

caa11ce49e39a66f4e53d72e23e6f520.png

sub_D994中会kill进程

unsigned __int64 __fastcall sub_D994(__pid_t a1, int a2)

{

unsigned __int64 result; // x0

unsigned __int8 v3; // cf

bool v4; // zf

result = linux_eabi_syscall(__NR_kill, a1, a2);

v3 = __CFADD__(result, 0x1000LL);

v4 = result == 0xFFFFFFFFFFFFF000LL;

if ( result > 0xFFFFFFFFFFFFF000LL )

result = !result;

if ( !v4 & v3 )

{

*(_DWORD *)__errno() = result;

result = 0xFFFFFFFFFFFFFFFFLL;

}

return result;

}这里需要path so 让kill不成功,使用 RET C0 03 5F D6 让方法不执行或者nop方法体

path前

2eaacaabee043ea50bd1ce950e4a7b0a.png

path后

33c8c7ba53453569347c7ab7fee5fcff.png

F5

dafd0d43162be8489ecca0714f98ded9.png

(3)算法识别

在sub_10F00中

65d000ef93c40e980bef1e369fb020a7.png

这里调试的时候有固定的组数赋值

7405b40b4fcead51a4da52ecf7ba9358.png

搜索了一下,百度告诉我们这是zuc算法

2165374e4743f4acfc177e25e9eec814.png

这是一个对称算法

(4)动态调试sub_10D24对应是zuc的解密算法,由于是对称加密,可以使用加密后的字节进行解密获得flag,在网上看了一下zuc算法的计算过程,这里有py的实现 https://baike.baidu.com/item/%E7%A5%96%E5%86%B2%E4%B9%8B%E7%AE%97%E6%B3%95%E9%9B%86/7177910?fr=aladdinif '__main__' == __name__:

key = [0x00] * 16

iv = [0x00] * 16

zuc = ZUC(key, iv)

# 加密过程

out = zuc.zuc_encrypt(b"i love u")

print("加密得到的字流", ["%08x" % e for e in out])

# 解密过程

zuc2 = ZUC(key, iv)

out2 = zuc2.zuc_encrypt(out)

print("解密得到的字流", ["%08x" % e for e in out2])

print(bytes(out2))

根据算法,需要找到 IV KEY 加密字节 就可以得到flag

IV

ee4e2ad68a407c8ffc8a5688123aa064.png

KEY

93267108586c3337626e4c52252b78cd.png

0000007FF0435C00 IV

0000007FF0435C10 KEYzuc_encrypt

91db51a48cbc576cc66badcdc705c830.png

zuc_encrypt(v7, (__int64)&key, 354339, 24, 1, 256, (unsigned __int64)&src, (unsigned __int64)&encode);

3ad67ef27e0d8f160ad8450355ce70d2.png

src 是 01234567890123456789012345678912

encode

75d59e28aeef12d610d26692bcc35a69.png

然后再调试一边,用encode替换src,看看是否是原来的src,但是结果不正确,经过反复调试,发现IV是固定的,但是KEY是变化的,看了一下key赋值的过程,发现TracerPid是生成key的一部分

3cf1583f2e7957bbc469bcbc276f7640.png

5558ae323fc40f4ff7a77a400fbf8223.png

调试的时候TracerPid 不为0,正确的KEY是TracerPid = 0的时候算出来的TracerPid 修改为0 得到正确的key

9875235d8ed81d17ad2854bd2e5dceef.png

F2修改内存值

bc32740dd3246f7b0d9211fa4fd7ad6e.png

而最后要对比的字节应该是

v11 = unk_296C0;

v12 = unk_296D0;

result = (unsigned int)sub_DB8C(&v11, &encode, 0x20LL) == 0;0x2B, 0x31, 0xA9, 0x7F, 0x7A, 0x85, 0x71, 0xED, 0x06, 0x83, 0x72, 0xDB, 0x52, 0xC5, 0xC9, 0xCD,

0xC2, 0x2A, 0x66, 0xF0, 0x46, 0xAF, 0x9A, 0x5F, 0xA6, 0x5F, 0x63, 0xB2, 0x3B, 0x2E, 0x8B, 0xCA按之前的思路,将加密字节当做src来调试

3f4b5ff512e22bfcd042412d2eddbcf0.png

获得flag W3lcomeT0WMCTF!_*Fu2^_AnT1_32E3$

adf2eadb3c43ead029d45963c30f1df7.png

三、总结

1、算法识别这块搜索大法

2、学习了zuc算法

最后于 2020-8-12 18:35

被neilwu编辑

,原因:

黄思齐
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android逆向CTF实战分析
contrary_的博客
01-16 2517
既然这篇文章提到了CTF 我就先来科普一下 What is CTF??? 赛事介绍: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。 赛事起...
2016华山杯ctf安卓
06-17
2016年华山杯ctf安卓
android ctf 分析,安卓逆向|菜鸟的objection学习笔:分析一个简单的CTF
weixin_30419031的博客
05-27 329
安装后打开app,随便输入一个字符串,提示:"Failed"。将apk拖入jadx,搜索"Failed"定位到这里:看着逻辑很简单,只要:getSecret(getFlag()).equals(getSecret(encrypt(this.etFlag.getText().toString())))这行代码的返回值为真即可。这里有三个方法,分别是"getSecret","getFlag","enc...
android ctf 分析,Android逆向笔 - ZCTF2016
weixin_39590635的博客
05-27 405
这是2016年zctf一道Android目,样本和本文用到的部分工具在文章末尾可以下载0x01 第一部分 静态分析安装运行apk,需要输入用户名和密码,用户名为zctf,用jeb工具反编译文件结构如下:图1如图 assets目录中有三个文件,bottom、flag.bin、key.db,还有一个JNIclass库。图2程序开始,先检查密码的长度(至少4位),然后调用auth方法验证用户名密码是...
Android逆向CTF实用入门——apk
weixin_63576152的博客
08-04 3714
本文浅浅地针对CTF中遇到的安卓apk目,罗列出一些基本知识点。
CTF Android逆向 -- KGB Messenger APK文件结构介绍,破解账户与密码,静态分析,修改并构建APK,逆向算法,APK文件签名
Ba1_Ma0的博客
12-15 1641
1.应用程序包的名称2.应用程序的所有组件3.此应用程序运行需要什么权限,以及其他应用程序访问此应用程序的信息所需的权限4.兼容性功能包含资源但具有开发人员无法更改的预定义文件夹层次结构的文件夹。这些文件用于为不同的屏幕大小、操作系统版本和多语言支持提供替代方案。这是一个包含验证信息的文件夹。这是在“签署”应用程序时生成的。这个文件夹APK中包含的每个文件的指纹信息。这意味着对 APK 的任何修改(甚至替换图标)都需要重新签署 APK,否则操作系统将拒绝安装。
Android逆向CTF基础汇总
06-11
附件是八道Android基础逆向,基本都是CTF。平时网上基础的CTF目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF再贴出来分享给大家练手。
CTF-RE第一次出
最新发布
11-05
Android
2016-Android-ctf
05-24
2016-Android-ctf。。。。。。。。。。。。。。。。。。。。
CTF 安卓脱壳工具大全
07-10
安卓脱壳已经安卓反编译工具,全部集成一套。这里推荐逍遥模拟器,十分方便快捷,然后在安卓中脱壳成功,一般模拟器是root 模式 所以可以减去很多麻烦的东西。
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
h1-702-2018-ctf-wu
05-09
H1 702 CTF CTF竞赛的作品(Android版)。
android 逆向(bugkuctf)
wanan的博客
01-24 1180
android 逆向(bugkuctf)
WhaleCTF平台Android部分
qq_42892021的博客
03-20 1073
WhaleCTF平台Android部分解 ###android01 利用工具对该apk进行反编译,利用jd查看其java源码由于增加了混淆,且没有so文件,java文件较少,随意浏览了一下几个文件,意外发现一段要base64解密的数列: public static String a() { return new String(Base64.decode(new byte[] { 97, 7...
CTF特训营》——APK逆向基础
PICACHU+++的博客
10-27 2711
一般由4层,Linux内核层,系统运行层,应用框架层和应用层,从开发人员的角度来讲,一个Android应用可以分为两个部分:一部分使用java来实现,也称为Dalvik虚拟机层,一部分使用C/C++实现,也称为Native层。
Android逆向二—CTF逆向实战(四个方向)
weixin_43526443的博客
06-04 3283
Somethingu have to know: 虽然Android平台使用Java来开发应用程序,但Android程序却不是运行在标准的Java虚拟机上,而是将Java字节码转换成Dalvik字节码,并打包到一个DEX可执行文档当中,Dalvik虚拟机通过解析DEX文件来执行这些字节码。 因此我们想了解安卓逆向,就要先了解一下Dalvik的语法。 目录 Somethingu have to know: 0x01 工具准备: 0x02 语法了解: 0x03 练习解...
ZCTF Android1-200
hyrathon的博客
08-16 1081
首先对APK的Java层代码进行分析.入口的逻辑在Login.attemptLogin函数中该函数调用Auth.auth对用户名密码进行校验. 此处校验有一个读取数据库的函数databaseopt,其逻辑就在下边定义,但是其实不用看,key.db文件就在程序目录中,用随便一个数据库查看器可以看到唯一的键值 所以,auth函数参数0=context,1=yonghuming+mima,2=
CTF_论剑场 android1
W3rsn
04-13 494
附件是一个apk包,这里用apktool解包并转成jar程序,看到如下代码 package com.example.test.myapplication; import android.os.Bundle; import android.support.v7.app.AppCompatActivity; import android.view.View; import android.vie...
2021羊城杯CTF wp
abelxu
09-13 2852
1.签到 比较坑的点是《一起来看***》是17,猜了很久才猜出来 28-08-30-07-04-20-02-17-23-01-12-19 得到flag SangFor{d93b7da38d89c19f481e710ef1b3558b} 2.BabyRop 一万年没做pwn了,为了骗点分还是看了一下。 fgets存在栈溢出 没有cannary保护 存在system函数(也可以用func1),存在/cin/sh字符串 所以可以直接getshell。坑点是不能使用/cin/sh和/sh要执行system(“sh
ctf中mms协议分析hngk
07-30
hngk是CTF (Capture The Flag)比赛中关于MMS(Multimedia Messaging Service)协议分析目。 MMS协议是一种用于在移动设备之间传输多媒体信息的协议。要解决这个hngk问,我们需要先了解MMS协议的基本结构和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值