CTF安卓逆向练习第四弹

最新推荐文章于 2024-04-07 23:50:51 发布
最新推荐文章于 2024-04-07 23:50:51 发布
阅读量2k 收藏 3
点赞数
分类专栏: CTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wmh_100200/article/details/73160031
版权

CTF安卓逆向练习第四弹–反调试与JNI_Onload下断点

写在前面的话:继续练习,涉及到新的知识点。题目是阿里2015ctf的第二题,有反调试技术,不能直接的用IDA进行调试,因此这里介绍了两个解题的方法供参考。apk:AliCrackme_2.apk

基本概述与整体思路

拿到apk先跑一下,看看我们需要做的事情。
这里写图片描述
OK,很明确,需要我们输入一个密码,然后点击输入密码按钮,完成破解。然后看一下这个apk中有so文件,所以我们破解的思路还是从java层到native层,从静态到动态。

Java层分析

打开jeb,将apk拖进去,发现没有混淆,名字或者MainActivity很清楚,找到onCreate,发现关键地方,下面else是验证失败的提示,那么if语句就是需要验证的地方。
这里写图片描述
然后跳到securityCheck这个方法继续查看,就在下面,发现是一个native的方法,因此用到so文件,下面就开始ida的分析。
这里写图片描述

IDA静态分析

将so文件拖到ida中打开,我们来看一下securityCheck,还是从下往上看,发现这个off_628c的指针就是我们要找的。
这里写图片描述
紧接着点开这个指针,发现一个“wojiushidaan”的参数,一看就知道我们找对了,在app中试了一下,发现这个字符串并不是答案,那么很有可能就是要找这个指针的值,因此在off_628c处下断点,开始动态调试。
这里写图片描述

动态调试失败

模拟器中开启android_server,开启端口转发,将app打开,然后attach这个so,开始动态调试。忽然发现只要我们开启动态调试,这个打开的app就开始闪退,试了两次之后都是这样,说明这个app有防调试的功能,要不怎么叫自毁程序呢,因此直接动态调试这条路走不通了。下面介绍两种解决的方法,一种是针对这道题的一个快捷的方法,还有一种是JNI_onload的调试方法,第一种方法可以看一下,第二种方法尽量掌握。

快捷方法

我们继续观ida中静态分析的函数,发现在我们想要下断点看的地方的上方,有一个_android_log_print函数,这是一个打印的函数,打开monitor,发现他确实打印了,只不过打印的信息并不是我们想要的。
这里写图片描述
因此我们可以想一下,能不能将打印的这个信息往下挪一点,挪到我们要看的off_628c下面,让它能打印这个指针的内容?因此,我们要做的是把so文件中arm汇编语音对应的hex机器码进行修改,因为ida本身的修改并不能保存,因此我们不能使用F2键进行修改。这里用010editor等十六进制编辑器修改相应的机器码,然后保存,再将修改后的文件重新打包,签名,安装到虚拟机中。
这里写图片描述
这是修改后的so文件
这里写图片描述
然后就可以在monitor中看到打印的信息,这就是我们要找的flag
这里写图片描述
试一下,果然成功
这里写图片描述

JNI_Onload下断点调试

上述的方法只是针对这道题的一个巧妙的方法,下面介绍一个适用性比较广的JNI_Onload下断点调试的方法。首先我们并不能按照往常attach的方法去进行动态调试,因为我们要在app加载之前就进行调试,所以这个时候我们可以用jdb一起进行调试,jdb在android SDk包中就有。我们先在ida中,在JNI_Onload的开始地方下断点。
然后我们用调试命令开启apk,模拟器中先不要打开app,在命令行中输入一下命令

adb shell am start -D -n com.yaotong.crackme/.MainActivity

这里这个com.yaotong.crackme/.MainActivity就是我们要调试的apk中的主进程,打开之后模拟器显示进行Waiting for Debugger,这时so文件啥的还没加载进去呢
这里写图片描述
然后接下来我们按照以前的步骤,attach上,这个时候我们能找到so的进程,然后打开monitor,发现我们要调试的apk前面有个红蜘蛛
这里写图片描述
然后在ida都加载好之后,按照一起的步骤我们要点击左上角的绿色三角开始调试,但是这次不用,我们开启jdb进行调试

jdb -connect com.sun.jdi.SocketAttach:port=8700,hostname=localhost

小tip:在使用jdb的时候一定要打开monitor
开启jdb之后,monitor变成了绿蜘蛛,然后点击F9键开始调试
这里写图片描述
然后程序会自动停在JNI_Onload的开始处,我们按F8,一步一步往下走,看看走到哪一步这个程序退出,发现到BLX R7这里退出了
这里写图片描述
然后走到退出的那一步,按F7,进入改函数,跟踪接下来的步骤,发现这个用了一个pthread_create,创建了一个新的线程,因此我们可以找到这个程序的反调试的代码处,它的反调试的原理是创建新的线程。
这里写图片描述
我们找到了反调试的地方,那么接下来怎么办,自然是把反调试的代码屏蔽掉,直接往下走就好。因此我们在BLX R7这里,将它的机器码改成0,相当于把这段代码屏蔽掉(用编辑器更改)
这里写图片描述
将修改后的so文件重新打包,签名,安装在模拟器中,找到我们IDA静态分析的关键指针处,下断点,然后用普通的方法进行动态调试,发现这回动态调试不会再退出了,其次我们下断点的地方找到R2寄存器中的值,刚好也是我们之前方法得到的值,”aiyou,bucuoo”,可见这次逆向完成!
这里写图片描述

结束语:JNI_Onload下断点的技术还需要继续练习

熊铁柱
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android逆向CTF基础题汇总
06-11
附件是八道Android基础逆向题,基本都是CTF题。平时网上基础的CTF题目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF题再贴出来分享给大家练手。
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
CTF安卓逆向练习第五
熊铁柱的博客
06-17 2670
CTF安卓逆向练习第五 写在前面的话:这次练习的是看雪2017CTF的第六题,涉及的知识点比较多,包括花指令,加密,编码等,自己并没有做出来,看了许多大佬的wp,自己跟着跑了一遍,期间遇到了许多问题,现在整理一下,看样子要学习的东西还是挺多的:-) 基本概述还是最基本的,先看一下题,如图,就是一个简单的app,然后获取注册码。 java层分析还是先看java层,打开jeb,拖进去,然后发现加
android ctf 分析,安卓逆向|菜鸟的objection学习笔记:分析一个简单的CTF
weixin_30419031的博客
05-27 331
安装后打开app,随便输入一个字符串,提示:"Failed"。将apk拖入jadx,搜索"Failed"定位到这里:看着逻辑很简单,只要:getSecret(getFlag()).equals(getSecret(encrypt(this.etFlag.getText().toString())))这行代码的返回值为真即可。这里有三个方法,分别是"getSecret","getFlag","enc...
ctf逆向动调调试技巧学习及总结
最新发布
weixin_73113840的博客
04-07 894
[羊城杯 2021]BabySmc, [HNCTF 2022 Week1]CrackMe,[[BJDCTF 2020]Easy],[HUBUCTF 2022 新生赛]help
android ctf 分析,Android逆向笔记 - ZCTF2016题解
weixin_39590635的博客
05-27 409
这是2016年zctf的一道Android题目,样本和本文用到的部分工具在文章末尾可以下载0x01 第一部分 静态分析安装运行apk,需要输入用户名和密码,用户名为zctf,用jeb工具反编译文件结构如下:图1如图 assets目录中有三个文件,bottom、flag.bin、key.db,还有一个JNIclass库。图2程序开始,先检查密码的长度(至少4位),然后调用auth方法验证用户名密码是...
android 逆向(bugkuctf)
wanan的博客
01-24 1181
android 逆向(bugkuctf)
Android jni使用及native层代码调试
z372574152的博客
06-04 3090
在工作中有个需求需要集成后端用C语言编写的p2p模块,并在java层调用native层的代码,这在安卓中需要通过jni来完成,下面将介绍如何在项目中使用jni。 1. 安装相关sdk 安卓提供了ndk帮助我们编译native层的C代码,因此我们需要确保sdk中已经下载如下工具: 上图中的LLDB可以帮助我们调试集成的C代码,这里还是建议安装一下。 安装成功后,需要在local.properties文件中添加下载的ndk绝对路径,例如: ndk.dir=/Users/everglow/Libr
ctf逆向安卓篇.pdf
11-16
ctf逆向安卓篇.pdf
ctf一道逆向
04-13
近期ctf逆向题的一道简单题,新手小白,用它来学习一下手动脱壳。。
Android Studio 打包APK文件(Debug版和Release版)
LLL778888的博客
12-01 1万+
现在Android手机上所有应用都是apk,分为系统自带和第三方应用提示:以下是本篇文章正文内容,下面案例可供参考对文章进行总结:本文仅仅简单介绍了Android如何生成可安装的APK文件。
BUUCTF [GKCTF 2021]app-debug
weixin_53349587的博客
01-09 892
1.拿到文件,发现是一个app,直接ida查看有没有so文件,有so文件,打开: 找到主函数,通过分析,找到关键函数,打开: 里面是一个典型的tea加密,只不过delta的值变了,所以用findcrypto也查不出来是tea加密,其中的key值也是假的,程序通过TracerPid进行反调试,详情请参考:TracerPid反调试 - 简书,然后通过对key值的交叉引用,找到了TracerPid所在的函数: 对付这种反调试的方法是把TracerPid的值改为0,于是打开39行sub_3EF..
android 逆向(xctf)
wanan的博客
01-23 746
android 逆向(xctf)
ctf apk 总结与回顾
weixin_42100211的博客
08-16 374
ctf mobile方向的一点点心得。
攻防世界 CTF mobile 新手《app1》
江湖人称Boss沈的博客
05-28 1335
apk直接拖入jadx找到入口文件MainActivity 找到关键代码,versionName与versionCode进行异或操作 找到BuildConfig中的versionName与versionCode 代码略。。。
2022CTF培训(五)字符串混淆进阶&代码自解密
sky123博客
12-06 1468
之前的字符串混淆是一次性解密的,找到解密函数即可获得所有字符串,同时执行解密函数后内存中也可直接获得所有字符串。 因此对抗人员升级了混淆技术,使得解密仅在使用时发生,从而避免了全部泄露的问题。 常见的形式是提供一个函数获取解密字符串,通过参数来决定返回的字符串。同样分为静态和动态两种。 静态解密可以直接获取可分析到的全部引用点,但缺点也是同样的,可能会遗漏掉动态解密的引用点,例如SMC代码自解密技术。 动态记录虽然能够捕捉所有执行到的解密,但无法记录未被执行到的分支,对于需求代码的搜索能力较差。
android studio 编译后 app-debug.apk 和 app-release.apk 的区别
热门推荐
micro9981的专栏
12-26 1万+
AS版本:Android studio 3.2.1 app-debug.apk 和 app-release.apk 的核心区别在AndroidManifest.xml 。 生成app-debug.apk时,编译器会自动在该apk的AndroidManifest.xml中添加 android:debuggable="true" 生成app-release.apk时,编译器会自动在该apk的And...
[buuctf.reverse] 126-130
weixin_52640415的博客
06-26 536
126_[NPUCTF2020]EzObfus-Chapter2 128_[GKCTF 2021]app-debug 129_[FlareOn2]YUSoMeta 130_[GXYCTF2019]minecraft
ctf re 安卓逆向
10-17
1. 首先,您需要了解一些基本的安卓逆向知识,比如安卓应用的结构、APK文件的解压和反编译等。可以参考一些相关的书籍或者网上的教程进行学习。 2. 接着,您需要选择一些逆向工具来辅助您进行分析和破解。比如IDA ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值