学习练手——XCTF黑客精神

最新推荐文章于 2025-07-24 10:00:06 发布
最新推荐文章于 2025-07-24 10:00:06 发布
阅读量525 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF学习 文章标签: java android 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/WuYu_AS/article/details/118857117
本文介绍了一款APP的注册机制分析过程,使用IDA和JADX工具定位关键代码,解析注册码生成算法并成功提取密钥。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 环境
  手机:Pixel 1
  系统:Android 8.1
  软件:IDA 7.5、JADX
  难度:简单
  apk资源

链接:https://pan.baidu.com/s/1iEBK__qeWKQAg9KFVraskA 
提取码:jn3p

二 分析流程
  
  1.打开点击自由正义分享,再点击注册,会进入了注册界面
  
在这里插入图片描述
  
  2.输入1122334455667,再点击注册,点击好吧就会退出APP(点击对话框外的任意地方,不会退出APP)
  
在这里插入图片描述
在这里插入图片描述

  
  3.打开JADX,搜索"您的注册码已保存",然后看到了关键的saveSN
  
在这里插入图片描述
  
  4.查看到了三个native方法
  
在这里插入图片描述
  
  5.先查看 initSN方法只有在 本类的onCreate初始化,在JADX中搜索MyApp的类初始化的地方
  
在这里插入图片描述
  
  6.发现关键的判断值 MyApp.m(图1),搜索引用发现没有赋值的地方(图2),那么说明有可能是SO里面,加上APP初始化就进行判断,说明MyApp.m赋值的initSN方法
  
在这里插入图片描述

图1

在这里插入图片描述

图2

  
  7.打开IDA,导入SO,打开导出表搜索 initSN 发现并没有,说明是在JNI_OnLoad里进行动态注册
  
在这里插入图片描述

  
  8.查看JNI_OnLoad,并且导入jni.h文件,查看off_5004
  
在这里插入图片描述
在这里插入图片描述

  
  9.先查看n1,简单读取"/sdcard/reg.dat"文件(由于文件是放在SD卡里所以需要给APP存储权限就可以了),读取文件内的字符串,然后和"EoPAoY62@ElRD"进行比较
  

在这里插入图片描述

  
  10.会将结果通过setValue设置到 MyApp.m,那么就找到了关键的key"EoPAoY62@ElRD"
  

在这里插入图片描述

  
  11.查看动态注册里的n2(JAVA层saveSN),分为三部分:
    1.初始化 加密用的字符串;
    2.将明文和从table中取出的字符进行异或;
    3.写入/sdcard/reg.dat文件
  
在这里插入图片描述

  
  12第一部分:.初始化 加密用的字符串,从伪代码中明显是固定的,加上也没有反调试,所以直接IDA,动态调试(下断点的地方 如图1)
  
在这里插入图片描述

图1

在这里插入图片描述

图2

  
  13.第二部分:加密算法很简单,实现的JAVA代码
  

public static String myEncrpt_CTF(String input){
    char[]table={0x57,0x33,0x5F,0x61,0x72,0x45,0x5F,0x77,0x68,0x4F,0x5F,0x77,0x65,0x5F,0x41,0x52,0x45,0x00};
    char[]result=new char[input.length() ];
    int table_index=2016;
    char table_item=0;
    for (int i = 0; i <input.length() ; i++) {
        if(i%3==1){
            table_index=(table_index+5)%16;
            table_item=table[table_index+1];
        }else if(i%3==2){
            table_index=(table_index+7)%15;
            table_item=table[table_index+2];
        }else{
            table_index=(table_index+3)%13;
            table_item=table[table_index+3];
        }
        result[i]= (char) (input.charAt(i)^table_item);
    }

    return new String(result);
}

14.因为table_item的生成和明文没有任何关系,加上最后是异或,说明了传入密文,返回的就是明文

System.out.println(myEncrpt_CTF("EoPAoY62@ElRD"));
201608Am!2333

15.输入正确的flag,重新进入app,按照指定的格式xman{201608Am!2333}! 提交就好了,不过这是很久以前的比赛APP,所以当成成功的标志就好了
在这里插入图片描述
在这里插入图片描述

XCTF密码学(入门一)
weixin_46027889的博客
10-15 1756
XCTF密码学(入门一) 1.1题目:base64 1.2描述:元宵节灯谜是一种古老的传统民间观灯猜谜的习俗。 因为谜语能启迪智慧又饶有兴趣,灯谜增添节日气氛,是一项很有趣的活动。 你也很喜欢这个游戏,这不,今年元宵节,心里有个黑客梦的你,约上你青梅竹马的好伙伴小鱼, 来到了cyberpeace的攻防世界猜谜大会,也想着一展身手。 你们一起来到了小孩子叽叽喳喳吵吵闹闹的地方,你俩抬头一看,上面的大红灯笼上写着一些奇奇怪怪的 字符串,小鱼正纳闷呢,你神秘一笑,我知道这是什么了。 1.3附件:Y3liZXJwZ
XCTF黑客精神解题报告
siritobla的博客
05-16 323
题目来源:https://adworld.xctf.org.cn/ 解题环境:kali + frida 12.8.0 + Win10 + IDA PRO 7.0 整体思路 静态分析.dex,应用的核心思路为com.gdufs.xman.MyAPP类中最先执行的initSN函数 其次,当我们在com.gdufs.xman.RegisterActivity中输入注册码,点击注册后,执行saveSN函数 只有当MyApp类中定义的静态字段m=1时,才会执行work函数 而上述三个关键函数,皆为JNI函
XCTF_MOBILE11_黑客精神
一个热爱逆向,喜爱学习、分享的猿。
02-21 1624
初见 附件为一个apk,先到模拟器中运行一下。 必须选择CPU为ARM的模拟器,因为app里面的native库只提供了ARM指令集的版本,没有提供x86指令集的版本: 模拟器启动后,将apk拖到模拟器中进行安装,安装好后,列表中app的图标是一个骚年: 运行app,又见一个骚年: 除了一个按钮啥也没有,点击这个按钮,弹出一个两按钮的对话框: 点击“不玩了”,app直接退出。 点击“注册”,进入新的界面。在新界面中,可以输入一串字符串,并有一个注册按钮。随便输入一个串,点击注..
黑客精神
playmaker的博客
04-18 251
黑客精神 java层程序首先判断有没有注册,如果没注册执行注册,否则执行native层的work函数。 逆向.so文件,入口为JNI_onload首先y修改变量类型为JNIEnv* 就可以看到各个函数名称,JNI_Onload函数利用注册本地方法将函数名称混淆了一下 进入界面注册函数执行init_sn()函数读取/sdcard/reg.dat目录中的文件判断是否相等于字符串"EoPAoY62@ElRD" 输入注册按钮之后,将输入的数值加密存储在/sdcard/reg.dat 解密 key = "W3_arE
xctf新手区(附详细过程)
qq_39670065的博客
09-15 2804
攻防世界
知乎小白关于ctf竞赛训练 积累的资料
qq_43679873的博客
11-13 4648
知乎小白关于ctf竞赛训练 积累的资料
第40天:攻防世界-Mobile—黑客精神(续)
S1lenc3的博客
12-09 890
今天没做出来题,四点之前准备考试,四点之后一直整动态调试,还没调通,哪位师傅带带我啊。。。过了这几天就好好看书了,估计刷题到瓶颈了,又没人教,太难了23333.。 今天把昨天那道题补充一下,昨天的佛系做法太水了。。。。 从找到四个函数开始吧。 先分析n2。 打开一个文件,不存在则创建。 关键点在这里,v16和v17是一个地址,当然是相同的字符串了。可以发现v13和v19是固定...
第39天:攻防世界-Mobile—黑客精神
S1lenc3的博客
12-08 1204
吐槽!!! 为什么那么多人做了这道题,没人出writeup。 我就佛系解题法了。。。。 前边一顿无脑操作,直接来到native方法。 这几个方法名,发现在so文件里找不见,第一次遇到这种情况。。。 搜索字符串试试。 看到了希望,进去看看吧。。。 最后 发现四个函数,n1,n2,n3,callWork. n2是创建reg.dat文件,并且把输入的字符串存进去, n1是判...
Android逆向题解6-黑客精神
u013170888的博客
04-12 779
看代码是要先注册,先调doRegister注册,判断已注册再调work doRegister跳到RegActivity 输入内容传到saveSN saveSN是个native方法,这里还看到了work也是native方法,就是核心代码都在so里 下面来分析so 直接看导出函数没找到saveSN和work,那应该是动态注册的 直接看JNI_OnLoad,确实是动态注册的,n1就是initSN,n2是...
【愚公系列】2023年05月 攻防世界-MOBILE(黑客精神
热门推荐
时光隧道
12-24 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
XCTF MOBILE 新手 app1、app2、easy-apk
A_dmin的博客
09-30 2570
XCTF MOBILE 新手 app1、app2、easy-apk
apk逆向破解入门级
u013170888的博客
10-12 1万+
样本很简单,就只有个发短信的行为,内容加密,可以直接写解密方法解密,但是这里我想通过hook解密方法直接动态看解密内容。 动态跑发现并没有运行到解密方法那里,查看代码发现解密前有个if没通过: 试着反编译修改代码 找到对应的smali代码删除掉重新编译生成apk搞定。 新生成的apk成功删除掉了if判断那块代码 最后hook解密方法动态看到解密内容 附上样本: 链接: https://p...
XCTF攻防世界web新手练习_ 9_command_execution
silence1_的博客
04-29 5571
XCTF攻防世界web新手练习—command_execution 题目 题目为command_execution,是命令执行的意思,可见这道题应该跟命名执行有关。 打开题目,看到一个功能框,根据题目,是用来ping功能的。 首先先尝试ping一下127.0.0.1,成功ping通,并回显执行的命令为 ping -c 3 127.0.0.1 于是我们尝试用&&符号执行多个...
学习练手——交响曲CTF
WuYu_AS的博客
07-25 354
目录一 环境二.分析过程三 结果    一 环境   手机:Pixel 1   系统:Android 8.1   软件:IDA 7.5、JADX、JEB   难度:简单 apk资源(0积分下载) https://download.youkuaiyun.com/download/WuYu_AS/20464210    二.分析过程      1.打开APP,随便输入flag,发现有textview提示,而且很奇怪。将APK放入jadx中,发现搜索字符串没有用,用JEB打开有解析一些字符串,那就先查看onCreate.
XCTF:练习CTF解题XMAN比赛 8-8 login
Gunther的博客
09-05 2029
login 首先查看源码(看关键点): 因为是post方式那么我们就利用bp. 在登陆页面输入username=admin,,password=admin得到下面信息: 下面分析: if ($result!=null&&$result->rowCount()==1) { echo $flag; }搜了一下P
Java从入门到精通!第十天,重点!(集合(二))
2301_80002260的博客
07-21 986
put 方法比较复杂,实现步骤如下:1. 先通过 hash 值计算出待插入的元素的 key 映射到哪个桶2. 如果桶上没有哈希冲突(哈希碰撞),即桶上没有元素,则直接插入3. 如果出现碰撞冲突,则需要处理冲突(1) 如果该桶使用红黑树处理冲突,则调用红黑树的方法插入(2) 否则采用传统的链式方法插入,如果链表的长度达到临界值(哈希表的容量大于 64 且链表节点个数大于 8),则把链表转换为红黑树4. 如果桶中存在重复的键,则为该键替换新值5. 如果 size 大于阈值,则进行扩容。
使用 Maven 的 `maven-assembly-plugin` 插件打包zip
weixin_42551921的博客
07-23 539
在pom.xml中配置来生成 ZIP 包。
Java-80 深入浅出 RPC Dubbo 动态服务降级:从雪崩防护到配置中心秒级生效
永远好奇,无限进步!
07-23 1704
动态服务降级是一种在系统高压或异常情况下,保障核心业务可用性的关键策略。**它通过设定触发条件(如高CPU、响应慢、错误率高等)自动或手动屏蔽非核心功能、简化数据或直接返回默认值,防止系统雪崩。典型场景包括电商大促、秒杀活动或第三方服务异常等。Dubbo支持多种降级方式,如mock=force:return+null和mock=fail:return+null,并可通过配置中心实现动态控制与秒级生效。结合限流、熔断等机制,服务降级是构建高可用分布式系统的重要手段。
java面向对象高级01——final关键字
最新发布
元气少女硕硕子的博客
07-24 92
final关键字用于定义不可变元素:修饰类时表示不可继承,修饰方法时表示不可重写。修饰变量时,基本类型值不可变,引用类型地址不可变但内容可变。static final修饰的成员变量称为常量,通常全大写命名,用于存储系统配置信息。
xctf backup
06-14
### XCTF备份方法与工具 XCTF(X-Code Technology Framework)通常指的是一个竞赛平台或技术框架,其备份方法和工具主要依赖于具体的实现环境。以下是几种常见的备份方法和工具,适用于XCTF或其他类似的技术框架。 #### 1. 数据库备份 在XCTF中,如果使用了数据库来存储用户信息、题目数据等关键内容,则可以采用以下数据库备份方法: - **mysqldump**:对于MySQL数据库,`mysqldump` 是一种常用的备份工具。它能够导出完整的SQL脚本,便于恢复和迁移[^2]。 ```bash mysqldump -u username -p database_name > backup.sql ``` - **pg_dump**:对于PostgreSQL数据库,`pg_dump` 提供了类似的备份功能[^3]。 ```bash pg_dump -U username -d database_name -f backup.sql ``` #### 2. 文件系统备份 XCTF的文件系统可能包含题目文件、日志文件和其他静态资源。这些文件可以通过以下工具进行备份: - **rsync**:用于同步本地或远程文件系统,支持增量备份,减少传输量[^4]。 ```bash rsync -avz /source/directory/ user@remote:/destination/directory/ ``` - **tar**:将文件打包并压缩为单个存档文件,方便存储和传输[^5]。 ```bash tar -czvf backup.tar.gz /path/to/files ``` #### 3. 容器化备份 如果XCTF运行在Docker容器中,可以使用以下方法备份容器状态: - **docker commit**:将当前容器的状态保存为镜像[^6]。 ```bash docker commit container_id new_image_name ``` - **docker save**:将镜像保存为可移植的归档文件[^7]。 ```bash docker save -o backup.tar new_image_name ``` #### 4. 配置文件备份 XCTF的配置文件通常包括服务启动参数、API密钥等敏感信息。可以使用Git等版本控制工具进行管理,并通过加密工具保护敏感数据[^8]。 - **git**:记录配置文件的历史变更,便于回滚和协作。 ```bash git add config_files git commit -m "Backup configuration" ``` - **gpg**:对配置文件进行加密存储,确保安全性[^9]。 ```bash gpg --output config.gpg --encrypt config.json ``` #### 5. 自动化备份工具 为了简化备份流程,可以使用以下自动化工具: - **cron**:在Linux系统中设置定时任务,定期执行备份脚本[^10]。 ```bash crontab -e # 添加如下行以每天凌晨2点执行备份 0 2 * * * /path/to/backup_script.sh ``` - **Ansible**:通过编写Playbook实现跨服务器的备份任务自动化[^11]。 ### 示例代码 以下是一个简单的Python脚本,用于备份XCTF的关键文件并上传到远程服务器: ```python import os import shutil import paramiko def backup_xctf(source_dir, target_dir): if not os.path.exists(target_dir): os.makedirs(target_dir) shutil.make_archive(os.path.join(target_dir, 'xctf_backup'), 'zip', source_dir) def upload_to_remote(local_file, remote_path, ssh_host, ssh_port, ssh_user, ssh_key): ssh = paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) ssh.connect(ssh_host, port=ssh_port, username=ssh_user, key_filename=ssh_key) sftp = ssh.open_sftp() sftp.put(local_file, remote_path) sftp.close() ssh.close() # 调用示例 backup_xctf('/var/xctf', '/tmp/backups') upload_to_remote('/tmp/backups/xctf_backup.zip', '/remote/backups/xctf_backup.zip', 'example.com', 22, 'user', '/path/to/key') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值