171226 逆向-JarvisOJ(APK_500)

最新推荐文章于 2021-04-12 10:45:38 发布
最新推荐文章于 2021-04-12 10:45:38 发布
阅读量590 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/whklhhhh/article/details/78907963
本文记录了JarvisOJ-APK_500的逆向分析过程,包括解决AndroidManifest.xml解码失败的问题、动态调试反调试机制以及通过静态分析找到核心native函数并成功获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1625-5 王子昂 总结《2017年12月26日》 【连续第452天总结】
A. JarvisOJ-APK_500
B.
跟之前的APK300-DebugMe如出一辙
一大堆反调试,字符串都进行了加密,通过异或动态解密来操作

DebugMe主要的坑点在于IDA把函数的返回值识别错误了,ARM并没看懂,其他还好

这个500的坑点就比较多了..
首先用Apktool和改之理都报AndroidManifest.xml解码失败,于是整个文件都反编译不出来
拖入安卓系统安装是正常的,因此可以直接解压缩出classes.dex,用dex2jar得到jar文件,然后用jd-gui之类的工具看到java

不过为了学习,还是研究了一波
直接解压出来的xml是二进制数据,不能直接查看
但是可以通过010Editor的模板来识别
首先可以发现MagicNumber错误,修改为00030800即可
解包发现还是错误,继续对比正常的xml分析
在这里https://justanapplication.wordpress.com/category/android/android-binary-xml/
有对二进制AndroidManifest.xml的格式解析
可以看到0x20处的StylePoolOffset应该为0,此处为一个巨大的值,试着将其修改
解包就正常了

(修改完了通过压缩软件添加入apk即可)

然而动态调试还是不行,估计是反调试在作祟
直接附加会显示权限不够,通过adb start时Waitting for the debugger不会消失,于是就一直卡着无法进展

继续静态分析
lib中只有libeasy.so一个库,java代码中显示核心方法为native函数:helloword
查看函数列表,没有发现相关的内容

找了一圈,最后在JNI Onload函数中发现了东西
这里写图片描述
这个熟悉的解密字符串函数没有变,还是它们
下面第二个字符串是函数类型的声明,继续往下看
这里写图片描述
调用了JNI的RegisterNatives这个方法就很明显了,在动态注册native函数
那么函数名、函数类型都有了,函数体在哪儿?
肯定就是上面那个sub_1198咯

点进去看,果然是
这里写图片描述
抛开前面的反调试不管,这里进行了一次bytes转码,连接到一个变量中
继续往下读,发现一共有4次变换

  • 第一次
    input[i] ^= i
  • 第二次
    input[i] += 1, i<4
  • 第三次
    前7个字符移到最后,其余字符顺序向前移动
  • 第四次
    异或硬编码数组

最后转16进制与一个结果字符串比较
结果字符串解出来是

ddedd4ea2e7bef168491a6cae2bc660
脚本调用bytes.fromhex的时候发现它长度不对,只有31位
转十六进制的时候是sprintf(buff, “%x”, input),注意格式化不是%02x
因此有一个0被消掉了,需要爆破

写出脚本进行逆解,还是不对
偶然看硬编码数组的时候发现有一个坑
这里写图片描述
这里进行了标识,说明有地方调用了它
查看交叉引用,发现果然有重写
这里写图片描述
写了两次,观察发现第二次和原值相同,那说明真正正确的应该是前一个值

修改硬编码脚本后即可得到flag

s = "ddedd4ea2e7bef168491a6cae2bc660"
n = []
for i in range(32):
    p = s[:i] + "0" + s[i:]
    n.append(bytes.fromhex(p))

b = [133, 139, 236, 131, 236, 20, 131, 141, 12, 1, 117, 95, 198, 69, 243, 80]
b[3] = 0x83
b[4] = 0x6c
b[5] = 0x9c
b[6] = 0x83


for a in n:
    flag = []
    flag1 = ""
    for i in range(16):
        p = a[i]^b[i]
        flag.append(bytes((p, )))
    flag = flag[-7:] + flag[:-7]
    for i in range(4):
        flag[i] = bytes((flag[i][0] - 1, ))
    for i in range(16):
        p = flag[i][0] ^ i
        if(p<=32 or p>=127):
            break
        flag1 += chr(p)
    else:
        print(flag1)

得到两个全为可见字符串的flag,很明显发现其中一个为有意义的词组,提交完成

C. 明日计划
JarvisOJ Shell

JS逆向-快手__NS_hxfalcon参数分析
ckcookies的博客
01-14 2215
现在快手H5接口都需要__NS_hxfalcon这个参数,这篇文章就是逆向这个参数
IDA 逆向代码 --- _stack_chk_guard变量 之后的局部 怎么处理
生命不息 折腾不止
03-25 2374
场景:IDA逆向代码的时候,看到反编译出来的有边界检测,一般使用最后一个四字节局部变量A做边界检测,但B也有些情况下,这个边界后面还会定义一个局部变量B,根据反编译出来的代码,可以看出这个 B 没有什么实际的意义,代码使用它的地址来进行偏移访问前面的局部变量。 char s_reqcomand[100]; // [sp+14h] [bp-ECh]@1 unsigned __int8 v...
Jarvis oj 文件数据修复 writeup
charlie_heng的专栏
11-25 497
感觉这题把逆向玩成了misc。。。。首先用mfc工具找到处理解密的函数看了下代码,是把输入的密码一顿操作之后生成16位的key然后用这个key异或一波文件的内容,异或完一次之后+1但是关键是我们不知道密码是什么。。。虽然提示了8位纯数字,但是爆破依然很浪费时间于是就发呆看着屏幕。。。结果看到有几列东西是每一列+1。。。于是大胆猜测全部都是0,这些就是key加了n异或后的结果于是写个脚本,解出文件,b
171205 逆向-JarvisOJ(文件数据修复)
whklhhhh的博客
12-06 666
1625-5 王子昂 总结《2017年12月5日》 【连续第431天总结】 A. JarvisOJ-Re-文件数据修复 B. 有个文件加密工具,能将一个文件加密到一个.ctf文件中去。 有一个犯罪分子将存有犯罪记录的一个名为“CTFtest.ctf”的加密文件被删除了。 现经过数据恢复,我们已经恢复了该文件。但是很不幸,该文件头部的部分数据已经被覆盖掉了。这个.ctf
Jarvis OJ平台安卓部分解题思路
qq_42892021的博客
12-05 352
Jarvis OJ平台安卓部分解题思路 以下为Jarvis OJ平台安卓逆向部分题目的解题思路,难题攻坚中,后续做出会进行补充。 [61dctf]androideasy 1、利用工具对该apk进行反编译,利用jd查看其java源码中的MainActivity.class下的oncreate方法: if (MainActivity.this.check()) { Toast.makeText(...
Jarvis OJ - ALL CHALLENGS
qq_41996851的博客
04-12 520
作为一个安全菜鸟正在慢慢入门,在了解完基本的CTF知识后就开始刷题找知识点的感觉了 虽然并不想写这篇博客,因为大部分题的思路都是看人家的writeup,并且人家写的比我更详细,但一些题目有很多知识点需要记住,所以就有了这篇博客 WEB篇 LOCALHOST 看解决数量就知道没啥可说的; 对于ip可控的2个头部一个是x-forwarded-for,一个是client-ip x-forwarded-for: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器.
Jarvis OJ Login
沐目的博客
04-18 883
Jarvis OJ Login http://web.jarvisoj.com:32772/ 题目连接 打开题目,什么都没有,于是习惯性的抓一下包,然后发现提示。 Hint: “select * from admin where password=’”.md5(pass,true).&quot;′&quot;发现后台查询password的语句,这是一个md5加密后的sql注入。md...
apk_tool-master.rar
12-03
Android逆向工具大全apk逆向分析,apktool:资源文件获取,可以提取出图片文件和布局文件进行使用查看,dex2jar:将apk反编译成java源码,jd-gui:查看APK中classes.dex转化成出的jar文件
逆向案例-frida-demo-apk-01
03-13
在"逆向案例-frida-demo-apk-01"中,提供的1.apk文件很可能是一个包含示例代码或测试用例的应用,用于展示如何使用Frida进行APK逆向分析。可能包括了如何加载Frida脚本到设备,如何设置钩子,以及如何解析和展示结果...
APK-tools.rar_android
09-24
总的来说,"APK-tools.rar_android"提供的工具集是Android开发者和安全研究者的重要资源,它能帮助他们深入探索APK的内部结构,提高开发效率,保障应用安全,或者进行逆向工程学习。但同时,使用这些工具也需要遵循...
jarvisoj刷题之旅】逆向题目Classical Crackme的writeup
iqiqiya的博客
09-09 1078
  Winhex载入发现是rar压缩包 改后缀为.rar 解压得到CrackMe.exe 先运行看看 输入123456  弹窗报错 那么注册失败就是关键词 PEiD查壳无壳 可以看到是C#编写的(刚开始没仔细看  直接载入IDA了  结果一脸懵) 那就载入.NET Reflector   直接搜索“注册”   分析可知  是将我们的输入进行base64编码(即...
2019信安国赛逆向easyGo,bbvvmm题解
Cosmopolitan的博客
04-23 2249
0x00 Reverse–easyGo 操作内容: |拖入ida反编译,发现很难识别,google之后,发现解析go符号的ida py脚本 https://raw.githubusercontent.com/strazzere/golang_loader_assist/master/golang_loader_assist.py 执行之后 识别出了main函数,在main函数里面找00000004...
180523 安卓-DDCTF(详细复现版)
whklhhhh的博客
05-31 1348
Hello Baby Dex jeb反编译发现不少第三方库,其中一个com.meituan.robust包搜索一下可以发现是美团开发的一个开源热更新框架 参照使用教程可以发现补丁的位置在PatchExecutor类调用的PatchManipulateImp类中的fetchPatchList方法中调用的setLocalPath方法处设置 于是跟着去找 cn.chaitin.geektan.c...
Jarvis OJ AndroidNormal逆向总结
re_psyche的博客
11-06 496
首先用jeb打开 在mainactivity处发现stringFromJIN,我们要找到.so文件用IDA进行查看。 在lib内看到有多个不同版本的.so文件,并且每一个里面都有libhello-libs.so。 我们通常分析armeabi-v7a。在该题中有一个简便方法就是当我们打开v8a结尾中的.so文件时,放到任意二进制编译工具中,如winhex。会在字符串中直接找到flag。 我们用...
某ctf平台逆向题目-算法-writeup
tu_siji的博客
03-20 3120
  逆向新手,最近做了D0g3平台的ctf,发现了比较好的算法题目  算法:OMG(1)  题目下载链接:https://pan.baidu.com/s/1nu8rtxR  用IDA反汇编得核心算法如下: 需要对flag进行爆破。特别需注意密码算法中i,j取值的变化关系C语言代码如下:运行即得flag。。。。D0g3{xxxxxxxxxxxx}...
2018DDCTF misc1
anxiong1803的博客
04-25 400
一、题目: (╯°□°)╯︵ ┻━┻ d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1e6b3e3b9e4b3b7b7e2b6 移位密码,跑python脚本得到flag s='d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c...
(Jarvis Oj)(Re) android_normal
Nothing
04-03 324
(Jarvis Oj)(Re) android_normal jeb打开apk 关键函数是stringFromJNI(),查看其来源 是在hellolibs里,于是用ida打开该库,找到函数 有一堆字符串,到内存窗口看看 wtf?? 又把flag瞎搞出来了 ...
jarvisoj刷题之旅】逆向题目DDCTF - Android Easy的writeup
iqiqiya的博客
09-09 987
下载附件之后   改后缀为.apk 本来是直接载入jd-gui的   结果不好看明白代码 那我们就先放到安卓模拟器运行一下看看    输入123456789 发现Wrong Key   载入Androidkiller 第一步:搜索Wrong 第二步:搜索flag_result_no 第三步:搜索0x7f060023     得到三个好玩的 发现0x7f06...
JarvisOJ misc100-easyapk wp
Magic1an的博客
08-20 1514
看到这个题放在misc里面,还以为会是以apk掩人耳目的misc题,结果没想到是一个纯正的安卓逆向。 可以看到程序的入口点还是MainActivityprotected void onCreate(Bundle arg3) { super.onCreate(arg3); this.setContentView(2130968602); Applica
jarvisoj_fm 1
最新发布
03-26
### JarvisOJ FM 功能概述 JarvisOJ 是一个在线编程练习平台,旨在帮助用户提升其逆向工程技能。其中的 FM(File Management)模块主要用于文件管理操作,涉及二进制文件分析、调试以及反汇编等内容[^1]。 FM 的核心功能包括但不限于以下几个方面: - **文件上传与解析** 用户可以通过该模块上传目标文件并对其进行初步解析,提取基本信息以便后续处理。 - **动态调试支持** 提供了一个集成环境用于运行和调试程序,允许设置断点、查看寄存器状态及内存数据等操作。 - **静态反汇编展示** 对于上传的目标可执行文件,能够生成对应的汇编代码视图,便于理解程序逻辑结构。 以下是实现简单文件读取的一个 Python 示例代码片段: ```python def read_binary_file(file_path): try: with open(file_path, 'rb') as file: content = file.read() return content except Exception as e: print(f"Error reading the binary file: {e}") ``` 此代码展示了如何打开并读取一个二进制文件的内容到内存中,这是许多基于文件的操作的第一步,在 JarvisOJ FM 中可能被用来加载待分析样本。 ### 常见问题解答 当使用 JarvisOJ FM 进行学习时可能会遇到一些典型疑问如下: #### 文件无法成功上传? 这可能是由于服务器端配置限制或者客户端网络连接不稳定引起的问题。建议检查所选文件大小是否超出规定上限,并确认当前互联网状况良好再尝试重新提交作业。 #### 调试过程中崩溃怎么办? 如果在利用内置工具对项目进行单步跟踪期间发生异常终止现象,则需仔细核查输入参数合法性;另外也要留意是否存在未初始化变量引用等情况造成非法访问错误。 #### 如何更高效地阅读大量汇编码? 除了依赖自动化插件辅助外,培养扎实的基础理论知识同样重要。平时应多加实践各类算法转换过程中的机器指令表达形式,逐渐形成快速定位关键路径的能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值