Newstarctf2024 Week3 Reverse-SecertsOfKawaii

fishStar_

于 2024-11-17 16:31:43 发布

阅读量1.2k

点赞数 25

文章标签：网络安全

本文链接：https://blog.youkuaiyun.com/weixin_73341373/article/details/143833501

版权

下载附件，是一个apk文件

想着用夜神模拟器打开，但是说什么与版本不兼容，懒得再去配置了

直接放到jeb里分析吧，因为不知道这个apk运行起来长啥样，就随便点点找启动类（java学的不太好哈哈）

看到了一个onclick，应该是输入flag后，通过onclick调用类似“check”是否相等

点击这个lambda$........类看看里面有啥

可以看到运行程序后会有一个窗口，里面写了“java层和so层加密”（确实so层有点抽象（主要是不懂为啥端序要调整两次，拷打了chatgpt也不太清楚））

在上面有一个click函数，可以看到“checkresult”，应该就是java层的主逻辑了

第二个有“congratulations”，主要看这个，应该是RC4加密了，key为“rc4k4y”

input经过rc4加密后，再通过base64编码，看了一下rc4的逻辑，没有经过魔改

这时候再点击check函数

但是看不到逻辑，前面说"java层逻辑和so层加密"，我们再去so文件里瞅瞅

小端序64位，直接扔到ida里，看看exports里有哪些引用

找到了check函数

点进去btea看了一下逻辑，发现是xxtea加密（经过魔改的（也不算“魔吧”），delta变了）

之后就是对比了

所以程序的流程应该是

java层将input经过rc4加密后再使用base64编码，结果再传入so层进行xxtea加密，最后再与secrets比较

那我们就先将secrets进行xxtea解密，再使用base64解码，最后再通过rc4解密

#include <stdio.h>
#include <stdint.h>
#define DELTA 0xdeadbeef //changable
#define MX (((z>>5^y<<3) + (y>>3^z<<2)) ^ ((sum^y) + (key[(p&3)^e] ^ z)))//changable
 
void btea(uint32_t *v, int n, uint32_t const key[4])
{
    uint32_t y, z, sum;
    unsigned p, rounds, e;
    if (n > 1)            /* Coding Part */
    {
        rounds = 6 + 52/n;
        sum = 0;
        z = v[n-1];
        do
        {
            sum += DELTA;
            e = (sum >> 2) & 3;
            for (p=0; p<n-1; p++)
            {
                y = v[p+1];
                z = v[p] += MX;
            }
            y = v[0];
            z = v[n-1] += MX;
        }
        while (--rounds);
    }
    else if (n < -1)      /* Decoding Part */
    {
        n = -n;
        rounds = 6 + 52/n;
        sum = rounds*DELTA;
        y = v[0];
        printf("%x\n",v[0]);
        printf("%x\n",v[1]);
        do
        {
            e = (sum >> 2) & 3;
            for (p=n-1; p>0; p--)
            {
                z = v[p-1];
                y = v[p] -= MX;
            }
            z = v[n-1];
            y = v[0] -= MX;
            sum -= DELTA;
        }
        while (--rounds);
    }
}
 
 
int main()
{
    unsigned int secrets[12] = {
        0x8C12D3DF,0x5F4C4137,0x1A9D3D02,0x2D1294B7,0xFB622B37,0xD18D84E3,0x064C4592,0x16985CAB,0xFDB06D69,0xFB30B1E3,0x925C2FD3,0x2E1BB40C
		};
	//uint32_t const k[4]= {2,2,3,4};密钥 
    int n=-12; //n的绝对值表示v的长度，取正表示加密，取负表示解密
    // v为要加密的数据是两个32位无符号整数
    // k为加密解密密钥，为4个32位无符号整数，即密钥长度为128位
    //解密时一定是每次传入两个uint32_t（32位无符号整数）
    
	//printf("加密前原始数据：%u %u\n",v[0],v[1]);
    //btea(v, n, k);
    //printf("加密后的数据：%u %u\n",v[0],v[1]);
	btea(( unsigned int *)secrets,n,( unsigned int *)"meow~meow~tea~~~");
    for(int i=0;i<12;i++){
    	printf("%x ",( unsigned int )secrets[i]);
	}
    return 0;
}

官方wp的secrets是直接声明为long long，但是因为不太清楚数据类型这些的，怕出错，我就直接将ida中的数据提取后转为16进制，因为xxtea加解密每一次都是传入两个unsigned的整形，所以这边我就将每个提取出（64位的dq）的16进制再转为大端序（32位的dw）。

结果为

再进行base64解码，注意最后一个’a‘前补个0

最迷的就是为啥刚才xxtea已经转换端序了

现在这个传入base64解码的字节流也要转换端序（有没有师傅可以教教）

import base64
data1='6f694771736b3854694876624d6f69662f7164597073426843344c5256467a5262592f4f64594e673d3d67430a'
print(bytes.fromhex(data1))
print()
code=''
for i in range(0,len(data1)-8,8):
    code+=data1[i+6]
    code += data1[i + 7]
    code += data1[i + 4]
    code += data1[i + 5]
    code += data1[i + 2]
    code += data1[i + 3]
    code += data1[i + 0]
    code += data1[i + 1]
print(code)
print(bytes.fromhex(code))
print()
a = int.from_bytes(base64.b64decode(bytes.fromhex(code)))
print(hex(a))

结果为