Android逆向二—CTF逆向实战(四个方向)

最新推荐文章于 2024-05-10 19:58:35 发布
最新推荐文章于 2024-05-10 19:58:35 发布
阅读量3.3k 收藏 20
点赞数 4
分类专栏: Android逆向 文章标签: Andriod逆向 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43526443/article/details/117533456
版权

Something u have to know:

实践是检验真理的唯一标准,本次逆向学习使用的AppDemo为Frida官网提供的ctf的示例。

本次实战通过静态插桩篡改法、动态插桩调用法、动态插桩篡改法、汇编代码分析法四个方向获取flag

 

目录

Something u have to know:

0x01 环境准备:

0x02 代码分析:

0x03 静态插桩篡改法(AndroidKiller):

0x04 动态插桩调用/篡改法(Frida):

方法一:不篡改程序,调用calc()方法拼接得到flag

方法二:篡改cnt的值为1000 获得flag

0x05 汇编代码分析(Radare2):

0x01 环境准备:

该部分内容较多,可以先跳过,需要了回来安装

ID工具名链接说明
1AppDemohttps://github.com/ctfs/write-ups-2015/blob/master/seccon-quals-ctf-2015/binary/reverse-engineering-android-apk-1/rps.apk下载失败翻墙下载
2AndroidKillerhttp://www.downza.cn/soft/275382.html 
3J2S2Jhttps://www.onlinedown.net/download/1209079?module=download 
4

Frida

https://github.com/frida/frida/releases

安装对应版本

5Radare2

$ git clone https://github.com/radareorg/radare2.git

$ cd radare2

$ ./sys/user.sh

下载失败翻墙下载

1、AppDemo下载安装

(略)

2、AndroidKiller下载

(略)

若jd-gui不兼容当前java版本,可替换为插件包中原jd-gui

3、J2S2J下载

(略)

转换过程中某dex/jar文件异常,删掉该文件重新转换即可

4、Frida安装

       4.1 u need know:

Frida是一款以Python作为载体,Javascript作为在Android中执行代码的Hook框架。

Frida自带的Messages机制与进程交互,以下为Frida的基础模板:

import frida, sys
 
//hook代码,采用javascript编写
jscode = """
//javascript代码!!!!!!!!!
"""
 
//自定义回调函数
def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)
 
//获取设备并得到应用包对应进程号pid的session实例化对象
process = frida.get_remote_device().attach('应用完整包名')
//创建jscode的Script类
script = process.create_script(jscode)
//将自定义回调函数带入mseesage
script.on('message', on_message)
//启动javascript脚本
script.load()
sys.stdin.read()

Frida分为frida和finrda-sever两部分,frida-server安装在移动端用于监听来自PC端frida的Messages用来热更

       4.2 PC端安装frida需要具备Python开发环境(没有的自己下懒死了),命令行输入:

    pip install frida-tools

       4.3 移动端安装frida-server需要根据架构信息安装对应版本,使用adb工具查看(此处演示虚模拟器,真机不会的百度,略略略)

模拟器安装目录下自带adb工具,cmd命令行启动

adb shell

getprop ro.product.cpu.abi

看到下面打印的了么,框架为x86,下载对应版本:https://github.com/frida/frida/releases

下载下来后放入移动端,启动监听和frida-server:

adb push xxxxx /data/local/tmp

adb forward tcp:27042 tcp:27042

adb forward tcp:27043 tcp:27043

adb shell

cd /data/local/tmp

chmod 755 xxx

./xxx

       4.4 以上安装完毕后测试(第一条打印为server服务未启动或其他原因,第二条打印则为成功)

frida-ps -R

0x02 代码分析:

1、APK反编译

代码分析时可以用自带的J2S,也可以使用J2S2J工具,如下图所示对比下来J2S2J工具转换代码更为清晰准确。

2、代码分析

入口MainActivity.smali分析:

//声明了button控件及对应的监听器
protected void onCreate(Bundle savedInstanceState) {
      super.onCreate(savedInstanceState);
      setContentView(R.layout.activity_main);
      this.P = (Button) findViewById(R.id.button);
      this.S = (Button) findViewById(R.id.button3);
      this.r = (Button) findViewById(R.id.buttonR);
      this.P.setOnClickListener(this);
      this.r.setOnClickListener(this);
      this.S.setOnClickListener(this);
      this.flag = 0;
  }

//那么就看一下button的点击事件

public void onClick(View v) {
      if (this.flag != 1) {
          this.flag = 1;
          ((TextView) findViewById(R.id.textView3)).setText("");
          TextView tv = (TextView) findViewById(R.id.textView);
          TextView tv2 = (TextView) findViewById(R.id.textView2);
          this.m = 0;
          this.n = new Random().nextInt(3);  //随机数0,1,2
          tv2.setText(new String[]{"CPU: Paper", "CPU: Rock", "CPU: Scissors"}[this.n]); 
          if (v == this.P) {
              tv.setText("YOU: Paper");
              this.m = 0;
          }
          if (v == this.r) {
              tv.setText("YOU: Rock");
              this.m = 1;
          }
          if (v == this.S) {
              tv.setText("YOU: Scissors");
              this.m = 2;
          }//以上随机得到剪子包袱锤
          this.handler.postDelayed(this.showMessageTask, 1000);//输赢判断方法
      }
  }

//那么就看看输赢判断方法this.showMessageTask

入口的调用($1.smali)找判断方法:


private final Runnable showMessageTask = new Runnable() {
        public void run() {
            TextView tv3 = (TextView) MainActivity.this.findViewById(R.id.textView3);
            MainActivity mainActivity;
            if (MainActivity.this.n - MainActivity.this.m == 1) {
                mainActivity = MainActivity.this;
                mainActivity.cnt++;
                tv3.setText("WIN! +" + String.valueOf(MainActivity.this.cnt));
            } else if (MainActivity.this.m - MainActivity.this.n == 1) {
                MainActivity.this.cnt = 0;
                tv3.setText("LOSE +0");
            } else if (MainActivity.this.m == MainActivity.this.n) {
                tv3.setText("DRAW +" + String.valueOf(MainActivity.this.cnt));
            } else if (MainActivity.this.m < MainActivity.this.n) {
                MainActivity.this.cnt = 0;
                tv3.setText("LOSE +0");
            } else {
                mainActivity = MainActivity.this;
                mainActivity.cnt++;
                tv3.setText("WIN! +" + String.valueOf(MainActivity.this.cnt));
            }
            if (1000 == MainActivity.this.cnt) {
            //获胜1000次获取flag
                tv3.setText("SECCON{" + String.valueOf((MainActivity.this.cnt + MainActivity.this.calc()) * 107) + "}");
            }
            MainActivity.this.flag = 0;
        }
    };

4、结论

1、直接通过AndroidKiller篡改,使打印flag成为必然事件;

2、使用Frida hook脚本传递注入,获取calc()返回值并拼接/修改cnt的值为1000 获得flag;

3、使用Radare2分析so文件汇编代码,分析calc()算法获得flag。

注:AndroidKiller为静态二进制插桩,Frida为动态二进制插桩。

0x03 静态插桩篡改法(AndroidKiller):

1、代码修改

我们可以将打印flag的前置条件删除,对应smali中的操作分别是:

1、删除对应条件判断的smali码(如图右红框所示)

2、前置跳转锚点继承给下一段代码(.line 50)

3、因为smali使用的if-ne为不等于,所以需要将该后置跳转对应的前置锚点全部删除(删除所有smali代码中存在的:cond_0)

4、判断条件删除后将条件改为背景(super.this$0.cnt=1000,即v2=1000,即const/16 v2,0x3e8)

注:smali码转换成java代码后会优化,所以判断方式等会稍有不同

2、APK编译

3、获取Flag

触发条件在button的onclic事件,点击即可获得

耶斯莫拉

0x04 动态插桩调用/篡改法(Frida):

方法一:不篡改程序,调用calc()方法拼接得到flag

1、移动端运行frida-server

没看懂的参考第二章Frida安装最后几步

2、Javascript代码编写

Java.perform(function () {
    //定义变量MainActivity指定使用的类
    var MainActivity = Java.use('com.example.seccon2015.rock_paper_scissors.MainActivity');
    //指定类下的onClick方法,为其添加自定义方法
    MainActivity.onClick.implementation = function () {
        //调用calc()方法,获取返回值
        var calcData = this.calc();
        //发送给PC端打印calc()方法返回值
        send("calc() return:"+calcData);
        var result = (1000+calcData)*107;
        //发送给PC端打印flag
        send("SECCON{"+result.toString()+"}");
    }
});

3、Javascript代码套入python模板

import frida, sys
 
def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)
 
jscode = """
Java.perform(function () {
    var MainActivity = Java.use('com.example.seccon2015.rock_paper_scissors.MainActivity');
    MainActivity.onClick.implementation = function () {
        var calcData = this.calc();
        send("calc() return:"+calcData);
        var result = (1000+calcData)*107;
        send("SECCON{"+result.toString()+"}");
    }
});
"""
 
process = frida.get_remote_device().attach('com.example.seccon2015.rock_paper_scissors')
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()

4、运行查看flag

方法二:篡改cnt的值为1000 获得flag

5、同上直接上Python代码

import frida, sys
 
def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)
 
jscode = """
Java.perform(function () {
    var MainActivity = Java.use('com.example.seccon2015.rock_paper_scissors.MainActivity');
    MainActivity.onClick.implementation = function (v) {
        this.onClick(v);
        this.n.value = 0;
        this.m.value = 2;
        this.cnt.value = 999;
    }
});
"""
 
process = frida.get_remote_device().attach('com.example.seccon2015.rock_paper_scissors')
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()

6、运行查看flag

耶斯莫拉

0x05 汇编代码分析(Radare2):

1、使用radare2对so文件分析(或者ida pro等工具)

常用命令可借鉴:https://cloud.tencent.com/developer/article/1073910

2、拼接获取flag

"SECCON{" + String.valueOf((MainActivity.this.cnt + MainActivity.this.calc()) * 107)+"}"

MainActivity.this.cnt=1000           MainActivity.this.calc()=7

SECCON {107749}

耶斯莫拉

土豆.exe
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
国外android逆向的论坛,初探android逆向
weixin_42510645的博客
05-28 2035
好久没有更新博客了。一直在想要更新点什么样子的干货。最近看了一点有关于逆向的文章,感觉还不错。对于“安卓开发没人要了”这种话,我也很无奈,最近的RN,包括kotlin的出现,还有Flutter框架的出现。 这些东西的出现感觉都像是意味着,往后的移动端开发不需要双倍的人员了。最近突然对逆向萌生了一点点兴趣,关于逆向的东西依旧有很多,很多apk对进行加固,加壳等等,这里的入门仅仅是对于没有加密等操作的...
动态进制插桩原理与实战
qq_42882717的博客
03-30 3007
进制插桩~说点什么插桩是啥为啥要插桩源代码插桩进制插桩如何插桩两种主要方式和三种执行模式方式1:方式2:第一种模式:第种模式:第三种模式: 说点什么 虽然不是主要做这个的,但是安全工程师的知识面太大咯, 学习其它科目的知识有助于锻炼思维,所以记一下学习过程 插桩是啥 动态进制插桩(dynamic binary instrumentation ,DBI)技术是一种通过注入插桩代码,来分析进制应用程序在运行时的行为的方法。 动态进制插桩技术,可以在不影响程序动态执行结果的前提下,按照用户的分析需求,
CTF-安卓逆向入门题目
热门推荐
CharlesGodX的博客
01-22 1万+
介绍 以下题目都是比较简单的安卓逆向题目,主要训练目的是熟悉安卓逆向的一些基础题目,如果是第一次接触安卓逆向,建议先去学一点安卓开发的相关知识,这样做题目就更快一些,当然题目做多了自然也就熟悉了,题目我都上传到Github上了,需要的可以下载。 题目1-androideasy 链接: https://github.com/ThunderJie/CTF-Practice/tree/master/CT...
牛逼了【Android逆向】小白也能学会的一个小时破解某猫社区VIP会员!
最新发布
2401_84009192的博客
05-10 1371
Dalvik虚拟机和Jvm一样,也有自己的一套指令集,类似汇编语言,但是比汇编简单许多。我们编写的Java类,最后都会通过虚拟机转化成Android系统可以解读的smali指令,生成后缀为 .smali 的文件,与Java文件一一对应 (也可能会比Java文件多,典型的比如实现某个接口的匿名内部类),这些smali文件就是Dalvik的寄存器语言。只要你会java,了解android的相关知识,就能轻松的阅读它,所以,我们真正需要修改的东西,是 java 代码对应的 smali 指令。
古老的话题:JDK环境变量配置的步骤
ebag的编程博客
07-15 629
JDK环境变量配置的步骤1.点击.我的电脑-->属性-->高级-->环境变量. 2.配置用户变量:        a.新建 JAVA_HOME             C:/Program Files/Java/j2sdk1.5.0 (JDK的安装路径)你的jdk是什么版本的,最后就是什么版本,这里我假设是1.5版的,所以就是j2sdk1.5.0        b.新建 PATH       
BUUCTF逆向wp helloword(涉及安卓逆向)
2302_81740139的博客
01-26 736
步 配置完成后将目标文件拖入AndroidKiller ,但源文件名字符过长,我们需要将它重命名一下(红色标注的)。拖入后呈现以下界面,选项我我们选 否。第步 点击Java archive并选择个最新版本的。AndroidKiller_v1.3.1,点击配置java SDK安装路径。第一步 下载文件,发现打不开,显示为apk文件,则下载有关安卓逆向的工具。第四步 配置路径如图,并确定,之后便可将apk类型的程序文件拖入运行了。附:下载 Java JDK并配置(下面Android的不用动)
Android逆向CTF基础题汇总
06-11
附件是八道Android基础逆向题,基本都是CTF题。平时网上基础的CTF题目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF题再贴出来分享给大家练手。
几个ctf 逆向
07-31
ctf比赛碰到几个逆向题,挺有意思,拷下来研究研究。ctf 逆向 隐写
逆向实战CTF比赛篇.zip
10-01
比赛项目源码
逆向ctf题做法总结.md
10-05
这是一份逆向ctf题做法的总结文档,给一个逆向CTF题总体的介绍,便于新手有整体概念和针对性提升,适合有一定程度的CTF逆向选手。
新手CTF逆向题目.rar
07-21
新手CTF逆向题目,可以用作入门学习,内容全面。 包括CTF大赛题目及截图,详细Writeup解答过程, 逆向相关。(摘自52pojie资源区)
Android插件化1-插桩式-Activity插件化
hongxue8888的博客
10-24 1051
1、插件化概述 插件化属于动态加载技术 动态加载技术:插件化、热修复 动态加载技术:在应用程序运行时,动态加载一些程序中原本不存在的可执行文件并运行这些文件里的代码逻辑,可执行文件总的来说分为两个,一个是动态链接库so,另一种是dex相关文件(dex文件包含jar/apk文件)。 插件化的作用:主要用于解决应用越来越庞大以及功能模块的解耦,所以小项目中一般用的不多。 热修复:主要用于修复bug。 ...
进制插桩与DTA
m0_55875295的博客
05-20 1194
进制插桩 所谓插桩,其实就是在进制程序指定位置(指令,函数)插入监控代码,类似hook,静态进制插桩(Static Binary Instrumentation,SBI,反汇编,会修改磁盘文件)和动态进制插桩(Dynamic Binary Instrumentation, DBI,对动态指令流进行修改,慢4倍)。常用框架有Intel Pin或者valgrind。(虚拟机对指令流进行修改) DTA 动态污点分析(Dynamic Taint Analysis,DTA)也称为数据流追踪(Data F
IDA Pro7.0使用技巧总结使用
寻梦&之璐
11-07 4004
俗话说,工欲善其事,必先利其器,在进制安全的学习中,使用工具尤为重要,而IDA又是玩进制的神器,以前在使用IDA的时候,只是用几个比较常用的功能,对于IDA的其他功能没有去研究,于是本着学习的精神,参考着《IDA pro权威指南》(第版),写下这篇文章,记录自己的学习心得,下面的记录都是在Windows平台下的IDA pro7.0进行的 一些进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c
app逆向篇之实战案例-某音乐app
博客
03-09 1885
本文章仅供学习交流,严禁用于任何商业和非法用途,如有侵权,可联系本文作者删除
Android逆向实例笔记—续力破解三个Android程序
sorgs
08-24 1万+
这三个app都不是很难。但是主要的目的就是练练手,然后去理理思路。 破解在于多多练习
android 传参启动apk_移动安全(三)|一道CTF题的apk逆向实战
weixin_39716417的博客
11-27 1199
0x00 @!@#~#$MaoXH(胡小毛)的Android逆向之路系列又来了,本次他分享了一道CTF题的逆向详细过程,希望有缘人能够有所收获~0x01 开整~实验环境:雷电模拟器+AndroidStudio+androidKiller+jad-gui目标apk:目的:获取inputflag第一步:安装apk&&反编译首先将111.apk安装在雷电模拟器上,并且将apk拖...
frida hook(CTF的示例WhyShouldIPay)
weixin_34034261的博客
05-20 720
import frida, sys jscode = """ //字符串转换byte[]的方法 function stringToBytes(str) { var ch, st, re = []; for (var i = 0; i < str.length; i++ ) { ch = str.cha...
J2SE堂上实例2.2Java抛出错误
qq_37835724的博客
11-04 150
2.2Java抛出错误 错误逐层往上抛出 Throw try,catch,finally   sum+= Integer.parseint()   Class.forName() 用法   拓展: (1)Integer.parseint() Integer就是代表整型对象,parseInt就是一个转换方法。 Integer.parseInt(String)就是将String字符类...
逆向工程ctf ida
10-12
逆向工程是指通过逆向分析已有软件的代码和结构,从中获取信息并了解其功能和设计思路的过程。而IDA(Interactive DisAssembler)是逆向工程过程中常用的工具之一,它能够将进制程序文件或动态链接库文件转换为汇编代码,以方便分析和理解。 逆向工程CTF(Capture The Flag)比赛中,参赛者需要通过逆向工程手段来获取隐藏在某个程序或应用中的标志(flag),常以此为目标进行竞赛。而IDA被广泛用作CTF逆向工程比赛的关键工具之一,主要用于分析并理解被逆向的程序。 通过IDA,参赛者可以加载进制文件,然后通过静态或动态分析的方法获取程序的结构和逻辑。IDA提供友好的界面,能够将进制代码转换为易于阅读和理解的汇编代码,并提供多种各类的分析功能,例如交叉引用分析、函数分析、字符串分析、结构和类分析等。这些功能使得解析程序的逻辑和功能变得更加方便和高效。 在逆向工程CTF中,参赛者需要运用IDA的各种功能,结合代码和结构分析,找出隐藏的标志(flag)。这个过程需要具备较强的程序分析能力和逻辑推理能力,同时对底层汇编语言和常见算法有一定了解。 综上所述,IDA作为逆向工程的重要工具,在逆向工程CTF中发挥着重要作用,通过IDA的使用,参赛者可以分析和理解不同程序的结构和逻辑,进而找到隐藏的标志(flag)以完成比赛的任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

土豆.exe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值