学习练手——XCTF黑客精神

最新推荐文章于 2025-07-28 17:30:49 发布
最新推荐文章于 2025-07-28 17:30:49 发布
阅读量526 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF学习 文章标签: java android 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/WuYu_AS/article/details/118857117
本文介绍了一款APP的注册机制分析过程,使用IDA和JADX工具定位关键代码,解析注册码生成算法并成功提取密钥。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 环境
  手机:Pixel 1
  系统:Android 8.1
  软件:IDA 7.5、JADX
  难度:简单
  apk资源

链接:https://pan.baidu.com/s/1iEBK__qeWKQAg9KFVraskA 
提取码:jn3p

二 分析流程
  
  1.打开点击自由正义分享,再点击注册,会进入了注册界面
  
在这里插入图片描述
  
  2.输入1122334455667,再点击注册,点击好吧就会退出APP(点击对话框外的任意地方,不会退出APP)
  
在这里插入图片描述
在这里插入图片描述

  
  3.打开JADX,搜索"您的注册码已保存",然后看到了关键的saveSN
  
在这里插入图片描述
  
  4.查看到了三个native方法
  
在这里插入图片描述
  
  5.先查看 initSN方法只有在 本类的onCreate初始化,在JADX中搜索MyApp的类初始化的地方
  
在这里插入图片描述
  
  6.发现关键的判断值 MyApp.m(图1),搜索引用发现没有赋值的地方(图2),那么说明有可能是SO里面,加上APP初始化就进行判断,说明MyApp.m赋值的initSN方法
  
在这里插入图片描述

图1

在这里插入图片描述

图2

  
  7.打开IDA,导入SO,打开导出表搜索 initSN 发现并没有,说明是在JNI_OnLoad里进行动态注册
  
在这里插入图片描述

  
  8.查看JNI_OnLoad,并且导入jni.h文件,查看off_5004
  
在这里插入图片描述
在这里插入图片描述

  
  9.先查看n1,简单读取"/sdcard/reg.dat"文件(由于文件是放在SD卡里所以需要给APP存储权限就可以了),读取文件内的字符串,然后和"EoPAoY62@ElRD"进行比较
  

在这里插入图片描述

  
  10.会将结果通过setValue设置到 MyApp.m,那么就找到了关键的key"EoPAoY62@ElRD"
  

在这里插入图片描述

  
  11.查看动态注册里的n2(JAVA层saveSN),分为三部分:
    1.初始化 加密用的字符串;
    2.将明文和从table中取出的字符进行异或;
    3.写入/sdcard/reg.dat文件
  
在这里插入图片描述

  
  12第一部分:.初始化 加密用的字符串,从伪代码中明显是固定的,加上也没有反调试,所以直接IDA,动态调试(下断点的地方 如图1)
  
在这里插入图片描述

图1

在这里插入图片描述

图2

  
  13.第二部分:加密算法很简单,实现的JAVA代码
  

public static String myEncrpt_CTF(String input){
    char[]table={0x57,0x33,0x5F,0x61,0x72,0x45,0x5F,0x77,0x68,0x4F,0x5F,0x77,0x65,0x5F,0x41,0x52,0x45,0x00};
    char[]result=new char[input.length() ];
    int table_index=2016;
    char table_item=0;
    for (int i = 0; i <input.length() ; i++) {
        if(i%3==1){
            table_index=(table_index+5)%16;
            table_item=table[table_index+1];
        }else if(i%3==2){
            table_index=(table_index+7)%15;
            table_item=table[table_index+2];
        }else{
            table_index=(table_index+3)%13;
            table_item=table[table_index+3];
        }
        result[i]= (char) (input.charAt(i)^table_item);
    }

    return new String(result);
}

14.因为table_item的生成和明文没有任何关系,加上最后是异或,说明了传入密文,返回的就是明文

System.out.println(myEncrpt_CTF("EoPAoY62@ElRD"));
201608Am!2333

15.输入正确的flag,重新进入app,按照指定的格式xman{201608Am!2333}! 提交就好了,不过这是很久以前的比赛APP,所以当成成功的标志就好了
在这里插入图片描述
在这里插入图片描述

XCTF密码学(入门一)
weixin_46027889的博客
10-15 1758
XCTF密码学(入门一) 1.1题目:base64 1.2描述:元宵节灯谜是一种古老的传统民间观灯猜谜的习俗。 因为谜语能启迪智慧又饶有兴趣,灯谜增添节日气氛,是一项很有趣的活动。 你也很喜欢这个游戏,这不,今年元宵节,心里有个黑客梦的你,约上你青梅竹马的好伙伴小鱼, 来到了cyberpeace的攻防世界猜谜大会,也想着一展身手。 你们一起来到了小孩子叽叽喳喳吵吵闹闹的地方,你俩抬头一看,上面的大红灯笼上写着一些奇奇怪怪的 字符串,小鱼正纳闷呢,你神秘一笑,我知道这是什么了。 1.3附件:Y3liZXJwZ
XCTF黑客精神解题报告
siritobla的博客
05-16 323
题目来源:https://adworld.xctf.org.cn/ 解题环境:kali + frida 12.8.0 + Win10 + IDA PRO 7.0 整体思路 静态分析.dex,应用的核心思路为com.gdufs.xman.MyAPP类中最先执行的initSN函数 其次,当我们在com.gdufs.xman.RegisterActivity中输入注册码,点击注册后,执行saveSN函数 只有当MyApp类中定义的静态字段m=1时,才会执行work函数 而上述三个关键函数,皆为JNI函
XCTF_MOBILE11_黑客精神
一个热爱逆向,喜爱学习、分享的猿。
02-21 1624
初见 附件为一个apk,先到模拟器中运行一下。 必须选择CPU为ARM的模拟器,因为app里面的native库只提供了ARM指令集的版本,没有提供x86指令集的版本: 模拟器启动后,将apk拖到模拟器中进行安装,安装好后,列表中app的图标是一个骚年: 运行app,又见一个骚年: 除了一个按钮啥也没有,点击这个按钮,弹出一个两按钮的对话框: 点击“不玩了”,app直接退出。 点击“注册”,进入新的界面。在新界面中,可以输入一串字符串,并有一个注册按钮。随便输入一个串,点击注..
黑客精神
playmaker的博客
04-18 251
黑客精神 java层程序首先判断有没有注册,如果没注册执行注册,否则执行native层的work函数。 逆向.so文件,入口为JNI_onload首先y修改变量类型为JNIEnv* 就可以看到各个函数名称,JNI_Onload函数利用注册本地方法将函数名称混淆了一下 进入界面注册函数执行init_sn()函数读取/sdcard/reg.dat目录中的文件判断是否相等于字符串"EoPAoY62@ElRD" 输入注册按钮之后,将输入的数值加密存储在/sdcard/reg.dat 解密 key = "W3_arE
xctf新手区(附详细过程)
qq_39670065的博客
09-15 2806
攻防世界
知乎小白关于ctf竞赛训练 积累的资料
qq_43679873的博客
11-13 4648
知乎小白关于ctf竞赛训练 积累的资料
第40天:攻防世界-Mobile—黑客精神(续)
S1lenc3的博客
12-09 890
今天没做出来题,四点之前准备考试,四点之后一直整动态调试,还没调通,哪位师傅带带我啊。。。过了这几天就好好看书了,估计刷题到瓶颈了,又没人教,太难了23333.。 今天把昨天那道题补充一下,昨天的佛系做法太水了。。。。 从找到四个函数开始吧。 先分析n2。 打开一个文件,不存在则创建。 关键点在这里,v16和v17是一个地址,当然是相同的字符串了。可以发现v13和v19是固定...
第39天:攻防世界-Mobile—黑客精神
S1lenc3的博客
12-08 1204
吐槽!!! 为什么那么多人做了这道题,没人出writeup。 我就佛系解题法了。。。。 前边一顿无脑操作,直接来到native方法。 这几个方法名,发现在so文件里找不见,第一次遇到这种情况。。。 搜索字符串试试。 看到了希望,进去看看吧。。。 最后 发现四个函数,n1,n2,n3,callWork. n2是创建reg.dat文件,并且把输入的字符串存进去, n1是判...
Android逆向题解6-黑客精神
u013170888的博客
04-12 780
看代码是要先注册,先调doRegister注册,判断已注册再调work doRegister跳到RegActivity 输入内容传到saveSN saveSN是个native方法,这里还看到了work也是native方法,就是核心代码都在so里 下面来分析so 直接看导出函数没找到saveSN和work,那应该是动态注册的 直接看JNI_OnLoad,确实是动态注册的,n1就是initSN,n2是...
【愚公系列】2023年05月 攻防世界-MOBILE(黑客精神
热门推荐
时光隧道
12-24 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
XCTF MOBILE 新手 app1、app2、easy-apk
A_dmin的博客
09-30 2570
XCTF MOBILE 新手 app1、app2、easy-apk
apk逆向破解入门级
u013170888的博客
10-12 1万+
样本很简单,就只有个发短信的行为,内容加密,可以直接写解密方法解密,但是这里我想通过hook解密方法直接动态看解密内容。 动态跑发现并没有运行到解密方法那里,查看代码发现解密前有个if没通过: 试着反编译修改代码 找到对应的smali代码删除掉重新编译生成apk搞定。 新生成的apk成功删除掉了if判断那块代码 最后hook解密方法动态看到解密内容 附上样本: 链接: https://p...
XCTF攻防世界web新手练习_ 9_command_execution
silence1_的博客
04-29 5572
XCTF攻防世界web新手练习—command_execution 题目 题目为command_execution,是命令执行的意思,可见这道题应该跟命名执行有关。 打开题目,看到一个功能框,根据题目,是用来ping功能的。 首先先尝试ping一下127.0.0.1,成功ping通,并回显执行的命令为 ping -c 3 127.0.0.1 于是我们尝试用&&符号执行多个...
学习练手——交响曲CTF
WuYu_AS的博客
07-25 354
目录一 环境二.分析过程三 结果    一 环境   手机:Pixel 1   系统:Android 8.1   软件:IDA 7.5、JADX、JEB   难度:简单 apk资源(0积分下载) https://download.youkuaiyun.com/download/WuYu_AS/20464210    二.分析过程      1.打开APP,随便输入flag,发现有textview提示,而且很奇怪。将APK放入jadx中,发现搜索字符串没有用,用JEB打开有解析一些字符串,那就先查看onCreate.
XCTF:练习CTF解题XMAN比赛 8-8 login
Gunther的博客
09-05 2029
login 首先查看源码(看关键点): 因为是post方式那么我们就利用bp. 在登陆页面输入username=admin,,password=admin得到下面信息: 下面分析: if ($result!=null&&$result->rowCount()==1) { echo $flag; }搜了一下P
9.c语言常用算法
最新发布
chxii的专栏
07-28 337
从数组的第一个元素开始,逐个与目标值进行比较,直到找到目标值或查找完整个数组。
Spring AI 项目实战(二十):基于Spring Boot + AI + DeepSeek的智能环境监测与分析平台(附完整源码)
博客
07-26 453
本文介绍了基于Spring Boot和DeepSeek大语言模型开发的智能环保监测系统。该系统实现了多类型传感器数据采集、实时监测、AI异常检测、污染源识别、趋势预测和治理方案推荐等功能,采用前后端分离架构,整合了Spring Boot、Vue3、MySQL等技术栈。项目通过AI技术提升了环保监测的智能化水平,解决了传统系统在实时性、分析能力和预警机制等方面的不足。
9:java学习笔记:do-while语句
2301_76578848的博客
07-26 616
摘要:do-while循环与while循环结构相反,先执行循环体再判断条件(至少执行一次)。其语法为do{...}while(条件);,末尾分号不可省略。典型应用场景包括菜单交互(如游戏选项、学生系统),需确保首次必执行且持续验证输入。例如:用户输入正整数时,若值≤0则重复提示;菜单系统中,选项非退出码(如4)时循环显示。尽管使用频率低于其他循环,但在强制首次执行的场景中不可或缺。
SpringBoot + Thymeleaf 实现模拟登录功能详解
m0_62923286的博客
07-24 608
本项目实现了一个基本的用户登录系统,包含以下功能:显示登录页面验证用户输入的用户名和密码登录成功跳转到用户信息页面登录失败返回错误信息。
xctf backup
06-14
### XCTF备份方法与工具 XCTF(X-Code Technology Framework)通常指的是一个竞赛平台或技术框架,其备份方法和工具主要依赖于具体的实现环境。以下是几种常见的备份方法和工具,适用于XCTF或其他类似的技术框架。 #### 1. 数据库备份 在XCTF中,如果使用了数据库来存储用户信息、题目数据等关键内容,则可以采用以下数据库备份方法: - **mysqldump**:对于MySQL数据库,`mysqldump` 是一种常用的备份工具。它能够导出完整的SQL脚本,便于恢复和迁移[^2]。 ```bash mysqldump -u username -p database_name > backup.sql ``` - **pg_dump**:对于PostgreSQL数据库,`pg_dump` 提供了类似的备份功能[^3]。 ```bash pg_dump -U username -d database_name -f backup.sql ``` #### 2. 文件系统备份 XCTF的文件系统可能包含题目文件、日志文件和其他静态资源。这些文件可以通过以下工具进行备份: - **rsync**:用于同步本地或远程文件系统,支持增量备份,减少传输量[^4]。 ```bash rsync -avz /source/directory/ user@remote:/destination/directory/ ``` - **tar**:将文件打包并压缩为单个存档文件,方便存储和传输[^5]。 ```bash tar -czvf backup.tar.gz /path/to/files ``` #### 3. 容器化备份 如果XCTF运行在Docker容器中,可以使用以下方法备份容器状态: - **docker commit**:将当前容器的状态保存为镜像[^6]。 ```bash docker commit container_id new_image_name ``` - **docker save**:将镜像保存为可移植的归档文件[^7]。 ```bash docker save -o backup.tar new_image_name ``` #### 4. 配置文件备份 XCTF的配置文件通常包括服务启动参数、API密钥等敏感信息。可以使用Git等版本控制工具进行管理,并通过加密工具保护敏感数据[^8]。 - **git**:记录配置文件的历史变更,便于回滚和协作。 ```bash git add config_files git commit -m "Backup configuration" ``` - **gpg**:对配置文件进行加密存储,确保安全性[^9]。 ```bash gpg --output config.gpg --encrypt config.json ``` #### 5. 自动化备份工具 为了简化备份流程,可以使用以下自动化工具: - **cron**:在Linux系统中设置定时任务,定期执行备份脚本[^10]。 ```bash crontab -e # 添加如下行以每天凌晨2点执行备份 0 2 * * * /path/to/backup_script.sh ``` - **Ansible**:通过编写Playbook实现跨服务器的备份任务自动化[^11]。 ### 示例代码 以下是一个简单的Python脚本,用于备份XCTF的关键文件并上传到远程服务器: ```python import os import shutil import paramiko def backup_xctf(source_dir, target_dir): if not os.path.exists(target_dir): os.makedirs(target_dir) shutil.make_archive(os.path.join(target_dir, 'xctf_backup'), 'zip', source_dir) def upload_to_remote(local_file, remote_path, ssh_host, ssh_port, ssh_user, ssh_key): ssh = paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) ssh.connect(ssh_host, port=ssh_port, username=ssh_user, key_filename=ssh_key) sftp = ssh.open_sftp() sftp.put(local_file, remote_path) sftp.close() ssh.close() # 调用示例 backup_xctf('/var/xctf', '/tmp/backups') upload_to_remote('/tmp/backups/xctf_backup.zip', '/remote/backups/xctf_backup.zip', 'example.com', 22, 'user', '/path/to/key') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值