pingpong 攻防世界

最新推荐文章于 2024-04-21 18:04:24 发布
最新推荐文章于 2024-04-21 18:04:24 发布
阅读量4k 收藏 1
点赞数 1
分类专栏: Android CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45055269/article/details/112644316
版权
CTF 同时被 2 个专栏收录
31 篇文章 6 订阅
订阅专栏
Android
4 篇文章 2 订阅
订阅专栏
这篇博客介绍了如何通过Frida工具对安卓应用进行逆向分析,解决了一个名为'pingpong'的挑战。作者首先分析了应用的主函数逻辑,然后提出了两种思路:一是使用Frida Hook SO库中的函数进行模拟执行,二是尝试直接调用原apk的SO文件并重新编译。虽然第二步未成功,但作者详细展示了Frida的使用过程,包括寻找和Hook ping及pong函数,并成功得到了挑战的flag。
摘要由CSDN通过智能技术生成

安卓题
JEB打开
主函数逻辑不难,1000000,ping一下pong一下减到0,输出flag,细看有两个反作弊,一个是MainActivity.this.tt % 2 == 0MainActivity.this.tt % 2 == 1每对tt取余操作,满足条件就将tt重新归为1000000。所以tt目前的值决定你现在是ping还是pong;另一个是MainActivity.this.p =MainActivity.this.ping(MainActivity.this.p, MainActivity.this.num);MainActivity.this.p = MainActivity.this.pong(MainActivity.this.p, MainActivity.this.num);,每次ping和pong都会调用so库里的ping()和pong()执行,所以直接将tt置0,中间不进行操作是没法将flag计算出来的。
main
两个思路,可以frida调用so库里的函数模拟执行,或者第二种思路是将so文件拿出来,自己编一个新的主函数逻辑再整成一个新的apk
思路一:frida
参考链接:
安卓逆向之Frida Native层HOOK
【移动安全高级篇】————11、Frida篇
攻防世界 reverse pingpong

import frida, sys


def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)

jscode = """
setImmediate(function () {
    Java.perform(function () {
        console.log("start");
        //so层hook
        //导出函数
        //var exports = Module.enumerateExportsSync("libpp.so");
        //for(var i=0;i<exports.length;i++){
        //    send("name:"+exports[i].name+"  address:"+exports[i].address);
        // }

        //遍历模块找基址
        Process.enumerateModules({
            onMatch: function (exp) {
                if (exp.name == 'libpp.so') {
                    send('enumerateModules find');
                    send(exp.name + "|" + exp.base + "|" + exp.size + "|" + exp.path);
                    send(exp);
                    return 'stop';
                }
            },
            onComplete: function () {
                send('enumerateModules stop');
            }
        });

        //通过模块名直接查找基址
        var soAddr = Module.findBaseAddress("libpp.so");
        send("soAddr:" + soAddr);

        var aping=0x1308+1
        var apong=0x1564+1
        //   hook导出函数 通过函数名

        var fping=Module.findExportByName("libpp.so", "Java_com_geekerchina_pingpongmachine_MainActivity_ping")
        send("findExportByName ping():" +fping );
        fping=new NativePointer(soAddr).add(aping);
        //NativePointer   简写ptr
        send("findExportByName ping():" +fping );
        var ping=new NativeFunction(fping, "int", ['pointer','pointer','int', 'int']);


        //send("findExportByName edit():"+Module.findExportByName("libpp.so", "_ZL4editP7_JNIEnvP8_jobjecti"))
        // Interceptor.attach(fping, {
        //     onEnter: function (args) {
        //         send("ping() began p:" + args[2] + ", num:" + args[3] );
        //     },
        //     onLeave: function (retval) {
        //         send("ping() return:" + retval);
        //     }
        // });

        //   hook导出函数 通过函数名
        var fpong=Module.findExportByName("libpp.so", "Java_com_geekerchina_pingpongmachine_MainActivity_pong")
        send("findExportByName pong():" +fpong );
        fpong=new NativePointer(soAddr).add(apong);
        send("findExportByName pong():" +fpong );
        var pong=new NativeFunction(fpong, "int", ['pointer','pointer','int', 'int']);
        //send("findExportByName edit():"+Module.findExportByName("libpp.so", "_ZL4editP7_JNIEnvP8_jobjecti"))
        // Interceptor.attach(fpong, {
        //     onEnter: function (args) {
        //         send("pong() began p:" + args[2] + ", num:" + args[3] );
        //     },
        //     onLeave: function (retval) {
        //         send("pong() return:" + retval);
        //     }
        // });
        var env = Java.vm.getEnv();
        var obj=ptr(0);
        var check = 1000000;
        var beFlag = 0;
        var num = 0;
        while (true) {               //下面这部分代码参考 https://blog.csdn.net/jasalee/article/details/70242837
            if (check % 2 == 1) {
                --check;
                beFlag = pong(env,obj,beFlag,num);
                ++num;
                if(num >= 7) {
                    num = 0;
                }
            } else {
                --check;
                beFlag = ping(env,obj,beFlag,num);
                ++num;
                if(num >= 7){
                    num = 0;
                }
            }
            if (check == 0) {
                send("check:"+check+" num:"+num)
                send("FLAG : "+"BCTF{MagicNum" + beFlag+ "}");
                break;
            }
        }

    });
});
"""


# 运行中hook
process = frida.get_usb_device().attach('com.geekerchina.pingpongmachine')
script = process.create_script(jscode)
script.on('message', on_message)
print('[*] Running test')
script.load()
sys.stdin.read()


'''
[*] Running test
start
[*] enumerateModules find
[*] libpp.so|0xd4c48000|24576|/data/app/com.geekerchina.pingpongmachine-6gshbHpfeBmTBFRYBxQpNg==/lib/arm/libpp.so
[*] {'name': 'libpp.so', 'base': '0xd4c48000', 'size': 24576, 'path': '/data/app/com.geekerchina.pingpongmachine-6gshbHpfeBmTBFRYBxQpNg==/lib/arm/libpp.so'}
[*] enumerateModules stop
[*] soAddr:0xd4c48000
[*] findExportByName ping():0xd34c9309
[*] findExportByName ping():0xd4c49309
[*] findExportByName pong():0xd34c9565
[*] findExportByName pong():0xd4c49565
[*] check:0 num:1
[*] FLAG : BCTF{MagicNum4500009}
'''
#以上嫖自DirWangK师傅,逻辑是找libpp.so的ping函数和pong函数,调用这两个函数模拟执行
#实际复现时,模拟器可以运行,但frida在模拟器里找不到libpp.so,网上查了查发现frida真机效果,模拟器经常出问题,但我没真机,直接开始哭

不过还是有点收获的:ping和pong函数的地址IDA里可以直接看,但是IDA是thumb模式,也就是所有汇编指令后面只跟了两个参数,所以指令下偏移地址+1
思路二:调用原apk的so文件,重新编译成新的apk
参考文章:
AS生成.so文件并在其它项目中进行引用,调用里面的方法
复现了一波没成功,先咕咕咕

BCTF{MagicNum4500009}

北风~
关注
专栏目录
攻防世界-Web简单篇】
gyy990526的博客
02-27 1961
001 view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解:F12看源代码,发现flag,即cyberpeace{2f02c337ed8e430393527ed58b1091f8} 002 robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解:打开链接什么也没有,这时就需要知道什么是robots协议,robots协议也叫robots.txt(统一小写)...
6.s081 lab1.2--pingpong【详细解释小白向】
weixin_63783092的博客
10-25 156
这一节虽说难度是easy,但是我也依旧花了将近一天时间去了解pipe的概念,前后完成差不多两天。同时因为一些不可控的原因(自己的代码和别人的一致但是测试不通过),走了很长时间弯路,尽管不知道为什么会发生上述原因,但至少通过换另外一种方法通过测试了。【理解思想能写的差不多已经很棒了我!
攻防世界unseping
m0_73303597的博客
11-12 1675
自用
MIB 6.1810实验Xv6 and Unix utilities(3)pingpong
暮色年华的博客
11-17 439
两个部分,进程可以向写端写入数据,也可以从读端读出数据。通过pipe系统调用,内核会为用户进程创建管道,同时返回两个文件描述符,用以描述管道的读写端,因此,我们采取调用函数wait()的方式,保证同一时刻管道内只有一个资源的写入和读取。子进程可以通过传递一个整数状态值来向父进程报告它的终止状态。时,它会被阻塞,直到它的一个子进程结束。一旦子进程结束,父进程就会收到关于子进程终止状态的信息。进程通常只持有某个管道的读出端或者写入端,因此使用的时候需要将另一端关闭。获取子进程的终止状态,并且清理子进程的资源。
CTF题目pingpingpongpong--获取flag
weixin_52937457的博客
03-17 1959
ctf获取flag入门
pingpong_buffer:一个简单的乒乓缓冲测试
06-25
乒乓缓冲(Ping-Pong Buffer)是一种在多线程或多处理器系统中常见的数据通信和同步技术,用于提高数据处理效率。这种技术源自乒乓球比赛的比喻,就像两名运动员轮流击球一样,两个缓冲区(或者更多)也在两个或多个...
pingpong.tar.gz
08-20
"pingpong.tar.gz"是一个压缩文件,通常在Linux或Unix-like系统中常见,它结合了tar(用于打包)和gzip(用于压缩)两种工具。这个文件包含了一个乒乓测试的完整集合,这通常指的是一个用于验证操作系统内核或者并发...
ping-pong:简单的客户端-服务器应用程序Ping Pong
04-08
简单的客户端-服务器应用程序Ping Pong。 服务器根据客户端的请求“ ping”响应“ pong”。 基于猎鹰的服务器。 开始运行:ansible-playbook -i托管main.yml 显示码头工人日志:码头工人日志-f [服务器或客户端的...
ADC.rar_DMA ping pong_Programming with C
09-24
在本文中,我们将深入探讨如何使用C语言编程来实现针对TI公司的DSP33FJ128GP802微控制器的ADC(模拟数字转换器)模块,并利用DMA(直接存储器访问)的ping pong模式进行高效数据传输。首先,我们要理解ADC的基本功能...
PingPong贸易还原小助手-crx插件
03-30
PingPong贸易还原小助手工具插件(以下称“小助手”)由Ping Pong Global Holdings Limited(以下称“PingPong”)开发并向您提供。 您知悉并同意,为了您能更好的使用PingPong提供的跨境收款服务和其他相关服务...
[GXYCTF2019]Ping Ping Ping 1
weixin_45674567的博客
07-08 1415
直接尝试:/?ip=127.0.0.1;ls; 看到flag.php,尝试读取:他提示不能有空格,绕过试一试: 尝试,回显/?ip= 1fxck your symbol!表示出现了非法字符,发现能代替空格的/**/、%0a、IFS等都被过滤了,但{IFS}等都被过滤了,但IFS等都被过滤了,但IFS9还可以使用,于是/?ip=127.0.0.1;cat9还可以使用,于是 /?ip=127.0.0.1;cat9还可以使用,于是/?ip=127.0.0.1;catIFS$9flag.php; 又说不能出现..
CTFping命令绕过及符号用法
热门推荐
长期承接网络通信领域商务合作
10-13 1万+
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ig..
[GXYCTF2019]Ping Ping Ping
pakho_C的博客
02-01 1462
[GXYCTF2019]Ping Ping Ping 打开靶场 就只有一个提示,直接按照提示进行测试 会返回ping ip的结果,联想到另外一道题,里面介绍了管道符的使用 [ACTF2020 新生赛]Exec 尝试直接使用管道符 使用ls查看目录下的文件,尝试访问flag.php 根据提示,应该是空格被过滤了,需要绕过空格 命令执行漏洞利用及绕过方式总结 常用的绕过方式: ${IFS} $IFS$1 < <> {cat,flag.php} //用逗号实现空格功能 %09
Shakti 2022 CTF(知识点备忘录)
永远都没有了
12-15 509
一次入门级的ctf比赛传送门:( https://shakti22.ctf.eng.run/login)考点: 进入网页后发现只有一张图片,什么都没很可疑,查看源代码发现提示 访问该链接之后,发现只有输入密码才是关键的突破点,尝试xss,和sql均无果,看一下源代码有一段js的注释代码,审计代码可以知道是和密码有关的东西,最后会运行完会返回password的值 我们通过js的源码泄露,在本地写一个html的格式进行js代码编写,利用把password输出就能获取的这题的密码了 保存为html格式至本
LoRa入门(2)—— PingPong测试(软件篇)
m0_64401263的博客
10-21 1915
上节讲述了,PingPong测试的STM32CubeMX初始化流程,这节讲解代码生成后,需要修改的板级驱动和LoRa的发送接收函数。 (参考:《Lora入门(1)—— PingPong测试(CubeMX篇)》)
buu web:Ping Ping Ping(命令执行)
m0_55378150的博客
04-07 798
打开靶机,提示get传参 直接?ip=127.0.0.1 返回ping的结果,接着试一下命令执行?ip=127.0.0.1|ls 发现疑似flag的flag.php,试一下能不能直接读出来?ip=127.0.0.1|cat flag.php 果然没这么简单,空格被过滤了,百度了一下绕过的方法 cat flag.txt cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt 挨个试一下,发现..
攻防世界web刷题记录2
m0_73239569的博客
04-21 929
通过ping命令,用户可以判断两台计算机之间的网络连接是否正常,如果计算机之间的网络连接正常,它们应该能够在规定的时间内收到和回复对方的数据包;反序列化又叫对象注入,序列化在内部没有漏洞,漏洞产生是应该程序在处理对象、魔术函数以及序列化 相关的问题导致的 当传给 unserialize()的参数可控时,那么用户就可以注入 payload,进行反序列化的时 候就可能触发对象中的一些魔术方法。FILE(S) 是要列出的文件或目录的名称,也可以是通配符表达式,用于匹配符合特定模式的所有文件和目录。
检查echo服务(TCP),quote服务(qotd)正在运行漏洞解决方案
luminous_you的博客
11-03 4740
漏洞一 检查echo服务(TCP)漏洞 7: echo服务,通常作为测试服务使用,可能被用作拒绝服务攻击(TCP/UDP 7) 解决: $ su # rm /bin/echo 漏洞二 quote服务(qotd)正在运行 17:quotd(qotd)服务,可能被发起"ping pong"攻击,利用源地址欺骗使tcp和udp两个端口运行qotd的服务器相互发送数据阻塞网络。(tcp/udp 17) 漏洞描述: 服务器监听TCP端口17,当建立连接之后,一个短消息从该连接发出(任何收到的数据将丢弃),服务器发出
pingpong收款的风险
最新发布
06-06
PingPong收款作为一种跨境电商的收款方式,在使用过程中存在一定的风险。以下是可能的风险: 1. 账号冻结:PingPong有权随时冻结用户的账户,如果您的账户被冻结,您将无法使用PingPong收款,也无法提取您的资金。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值