2015阿里&看雪移动安全挑战赛-第一题
题目传送门:AliCrackme
网上已经有很多writeup,我也是按照乌云上的2015移动安全挑战赛(阿里&看雪主办)全程回顾的基本思路来想的。但作为一个新手,就算照着教程来做也会踩到很多坑。所以我想把自己解题过程中遇到的一些细节问题跟大家分享一下。
文章中提到的环境配置是按照看雪论坛非虫的《Android软件安全与逆向分析》(以下简称《逆向》)配置的,这本书很棒,讲的很详细。在这里安利一波。
0x01
[…apk下载安装过程:略…]
apk安装好后,是这个样子的
输入密码错误弹出提示,并要求继续。按照《逆向》里的思路,首先我尝试了用apktool将apk反编译成smali的做法。在strings.xml文件中查看是否有可疑字符串。
结果没有发现。(ps:后来看了很多资料,觉得正确的做法应该是先将dex转jar看代码,然后根据代码来看这里面的东西。)
0x02
第二次尝试用dex2jar把classes.dex转成jar,然后用jd-gui查看。
发现两个方法:getPwdFromPic()
和getTableFromPic()
。它们是这样