攻防世界(app3)

最新推荐文章于 2024-12-12 19:05:20 发布

原创

最新推荐文章于 2024-12-12 19:05:20 发布 · 386 阅读

0 ·

CC 4.0 BY-SA版权

下载好题目后，可知文件为ab文件

参考链接：https://blog.youkuaiyun.com/qq_33356474/article/details/92188491

ab文件一般分两种：

一种是没有加密，这种文件前面有24字节的文件头，文件头包含none标志，文件头之后就是数据；

一种是加密的备份文件，它的文件头就比较复杂了，文件头包含AES-256标志。

1.提取数据

需要使用android-backup-extractor里的abe.jar将数据提取出来

命令如下：

java -jar abe.jar unpack test.ab test.tar

使用命令查看文件夹中文件

2.分析源码

使用JEB打开base.apk

依次点击Bytecode和MainActivity查看源码

主函数结构如下：

调用函数如下：

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

金鳞本鲤

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

攻防世界安卓入门题 3 app-3

qq_43623550的博客

03-05

300

1.题目给的是.ab文件一开始不大懂这是啥意思，后来去百度了一下。大致意思就是这是安卓备份文件里面的，然后用winhex看，有加密形式和不加密形式，这个是有区别的。具体见https://blog.youkuaiyun.com/yhsnihao/article/details/103047916 这老哥讲的很好。就是这个链接使用这老哥讲的工具，去github下下来后我晕了，我以为是要自己再项目上面跑，然后再打包成jar，后来自己翻了翻在build文件夹下面有jar 输入链接中的代码，完成解压得到base.apk

CTF - 攻防世界 - mobile新手 - app3

菜鸟的测试世界

06-07

1481

下载android-backup-tookit：https://sourceforge.net/projects/adbextractor/files/latest/download 执行下面的命令转换ab文件为jar文件： java -jar abe.jar unpack app3.ab app3.jar jar包解压后base.apk，Demo.db，Encryto.db三个文件，盲猜应该与数据库，解密相关。 apk拖到模拟器安装和运行：先上反编译，大概翻了一下，貌似在往数据库..

参与评论您还未登录，请先登录后发表或查看评论

UnityAB包资源提取

04-29

Unity AB包资源提取框架查看

【愚公系列】2023年05月攻防世界-MOBILE（app3）

热门推荐

时光隧道

12-11

3万+

在对安卓手机进行取证时，经常需要备份手机的应用程序数据，备份后得到的数据文件为ab格式。虽然大部分的取证软件都可以对ab文件进行分析，但是，有时候你可能需要解析ab文件的文件系统，然后对应用程序数据进行手动分析。ab文件一般分两种，一种是没有加密，这种文件前面有24字节的文件头，文件头包含none标志，文件头之后就是数据；一种是加密的备份文件，它的文件头就比较复杂了，文件头包含AES-256标志。jadxbase64。

第33天：攻防世界-Mobile—app3

S1lenc3的博客

12-02

1859

临近考试依然不忘刷题，CTF保佑不挂科。给了一个ab文件，我以为我下错文件了。。。。查了一下，这是Android备份文件，给个链接，https://blog.youkuaiyun.com/qq_33356474/article/details/92188491 看完讲解ab格式的这篇文章，先下载一个Android backup extractor，然后对文件进行转换。经过一系列操作，我们会...

攻防世界easyEZbaby_app-writeup

crow\a的博客

12-12

964

活动的注册声明要放在<application>标签内，通过<activity>标签来对活动进行注册,程序员一般把FirstActivity作为程序的主活动，即main函数。[doge]），此模拟器可直接将apk文件显示并可在电脑上运行，出现蓝色图标。不同于以往我们见到的exe文件或elf文件，这是个apk文件，即在安卓上运行的软件，在没下载安卓模拟器前图标应该是白的。一.下载题，即rar/zip压缩包，解压（推荐winrar，7-zip解压）[1]找到关键代码段（即出现flag，登录失败等提示的段）

攻防世界 mobile 新手 app2

weixin_44626823的博客

06-06

671

直接使用r0tracer 动态查看下整个包的执行流程,定位到核心 doRawData 函数发现是native函数，直接对apk解包，IDA查看so 2. 通过 ReisterNative 追到函数的动态注册地址 3. doRawData 分析此函数主要主要功能是AES加密，同时也能看到 key，IV不是必须的，模式ECB Hook 结果在图3中，可以看到类中还定义了 decode 函数，我们在so中验证是否是解密函数那我们尝试使用此函数来解密，但是他要构造一个对象，比较复杂，那这也难不倒我们，直接用do

Android逆向题解-攻防世界- easy-app（太湖杯）

u013170888的博客

11-23

1369

Android逆向so分析TEA算法和魔改base64算法；利用sktrace配合arm指令逐行分析代码逻辑。

re学习笔记（96）攻防世界 - mobile区 - app3

逆向随笔

01-11

1309

.ab格式，下载工具 nelenkov/android-backup-extractor: Android backup extractor (github.com) 进行解包 java -jar abe.jar unpack app.ab app.tar 解压后里面有base.apk

攻防世界安卓逆向app3

Y4tacker的博客

01-31

648

文章目录WP工具参考文章 WP 首先提取文件 java -jar abe.jar unpack 1.ab 1.tar 之后里面得到了两个db文件和一个apk 用DB Browser for SQLite打开db文件发现需要密码，因此只能继续分析apk文件了我还是从软件运行顺序开始分析，首先打开apk发现里面是一个类似登陆框的东西查看onclick事件,又是一个跳转的逻辑 public void onClick(View paramView) { if (paramView == this.

XCTF攻防世界web.doc

09-19

0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。【目标】学会查看源代码【工具】 firefox浏览器【分析过程】可以通过view-source:的方法来访问源码：html view-source:http://10.10.10.175:32796 在url中提交后便可访问页面源码，在源码中可找到flag。

攻防世界mobile新手区之app3 write up

克格莫（有需要的私信）

02-13

1382

0x00下载附件下载下来是一个AB文件，百度了一下ab文件，一些分析文章说该格式是一个安卓备份文件，分为有加密与无加密两种。

攻防世界-pdf

m0_62094846的博客

10-25

450

下载文件后，发现是个pdf文件，没有任何作用，先用word打开，将图片提取出来根据题目的提示猜测可能图的下面有所隐藏改变其长宽，但是仍然没有什么变化那么题目所说的下面，只可能是说明图片覆盖了某些信息，但是通过word又什么都没有发现，重新再看pdf，可以看到这里有文字，复制粘贴就可以得到flag: flag{security_through_obscurity} ...

攻防世界-app3

SNAKEのBlog

07-24

2105

所需工具 jadx android-backup-extractor DB Browser for SQLite 艰辛的过程拿到程序，发现是ab结尾的文件，就上网搜了一下，发现是android应用的备份文件，需要用android-backup-extractor里的abe.jar将数据提取出来 java -jar abe.jar unpack app3.ab app3.tar 接下来解...

攻防世界(easy-apk)

weixin_43906500的博客

04-16

1252

下载链接如下所示：https://adworld.xctf.org.cn/media/task/attachments/989ca07c3f90426fa05406e4369901ff.apk 使用JEB打开apk，如下所示：可知获得输入后进行Base64编码，并进行判断是否与特定字符编码是否一致打开Bse64New，可知其编码位置进行了改变，需要重新设计代码进行编程 python实现代码如下所示： def Base64Decode(str_list): list_base =

攻防世界misc-pdf

guangzhihai的博客

12-18

267

打开附件可以看到：一个图片所以我们猜测是图片挡住了或者是覆盖了! 所以猜测换成文档类型让他显形 PDF转文档网页地址：https://app.xunjiepdf.com/pdf2word 网页内容：可以看到图片中间即flag 转换下载下打开： ...

攻防世界 web get_post HackBar下载 xff_referer webshell 菜刀下载 wp

Rashu99's blog

06-12

1299

get_post 谷歌浏览器的hackbar 不用license的下载地址 https://github.com/cnhkkat/ctf_tools.git hackbar 下载完解压打开浏览器的扩展程序开发者模式加载已解压的程序返回到页面按F12出现HackBar xff_referer X-Forwarded-For: 123.123.123.123 XFF：http请求端的真实IP Referer: https://www.google.com Referer告诉服务器“我”来自哪

攻防世界-Android2.0

weixin_61154173的博客

06-03

905

可以发现show方法中有刚才的关键字符“wrong”，要想输入great所以参数要传入1，所以JNI.getResult返回结果要是1，跟进这个方法。发现加载动态链接库，解压.apk文件找到里面的.so文件载入IDA。也是简单异或，由这些可以求出原v5,v6,v7，然后根据init流程就可以求v4，代码如下。首先进行初始化v5,v6,v7，然后对v5,v6,v7进行变化，先看init函数。发现他是把v4数组的值每三个一组分别依次赋值给v5,v6,v7。下载apk，打开是要求输入flag，随便输入一个。

攻防世界 Reverse android-app-100

XFox_的博客

08-08

390

android-app-100 题目有Android，下载是.apk文件，打开雷电模拟器，下载apk 用JEB打开，解析a 发现主要函数 public void onClick(View arg8) { new String(" "); String v0 = this.a.b.getText().toString(); //输入字符 Log.v("EditText", this.a.b.getText().toString()); new

攻防世界shrine

最新发布

03-14

### 关于 CTF 攻防世界 Shrine 的解题思路 #### 背景介绍 Shrine 是 CTF 平台攻防世界中的一个 Web 高手进阶题目，属于 Python Flask 模板注入（Template Injection）类别的漏洞利用挑战。该题目主要考察选手对 Jinja2 模板引擎的工作机制以及 Flask 应用程序内部结构的理解。 --- #### 已知条件分析 1. **路径行为**: 当访问 `/shrine/` 路径时，服务器会接收输入并将其传递给 `flask.render_template_string()` 函数处理[^3]。 2. **过滤逻辑**: 输入数据经过了一个名为 `safe_jinja()` 的自定义函数处理，目的是防止简单的模板注入攻击。 3. **目标**: 利用模板注入漏洞获取应用配置项中的敏感信息——即 Flag 值[^4]。 --- #### 技术细节解析 ##### 1. Flask 中的特殊变量与方法 Flask 提供了一些可以直接在 Jinja2 模板中调用的方法和对象，例如 `url_for`, `get_flashed_messages` 等。这些方法可以通过其属性 `. __globals__` 访问到应用程序上下文环境下的全局变量字典。通过以下 Payload 可以验证是否存在未被完全封堵的安全隐患： ```plaintext /shrine/{{ url_for.__globals__ }} ``` 上述请求返回的结果显示了全局变量字典的内容，其中包含了当前运行的应用实例 (`current_app`) 和其他重要信息。 ##### 2. 获取配置参数进一步深入挖掘可以发现，在 `current_app.config` 下存储着所有的配置键值对，其中包括我们需要提取的目标 Flag[^2]: ```plaintext {'FLAG': 'flag{shrine_is_good_ssti}'} ``` 因此最终有效的载荷应为如下形式之一： ```plaintext /shrine/{{ url_for.__globals__['current_app'].config }} ``` 或者替代方案： ```plaintext /shrine/{{ get_flashed_messages.__globals__['current_app'].config }} ``` 这两种方式均能成功触发漏洞并读取到隐藏的数据。 --- #### 实现过程总结整个解题流程围绕以下几个核心环节展开： - 明确入口点及其工作原理； - 探索可用资源 (如内置函数) 来突破防护措施； - 构造精确表达式定位至所需字段完成任务。以下是完整的 Python 测试脚本用于模拟发送恶意 URL 请求的过程： ```python import requests base_url = "http://example.com" payloads = [ "/shrine/{{url_for.__globals__['current_app'].config}}", "/shrine/{{get_flashed_messages.__globals__['current_app'].config}}" ] for p in payloads: response = requests.get(base_url + p) if "flag{" in response.text: print(f"[+] Found flag: {response.text.strip()}") break else: print("[!] No flags found.") ``` 注意替换实际地址前缀部分以便适配具体竞赛场景需求。 --- #### 安全建议针对此类风险开发人员应当采取严格白名单策略限定允许渲染字符串范围；同时启用沙盒模式限制潜在危险操作执行权限从而有效遏制类似威胁扩散蔓延趋势。 ---