首页
论坛
专栏
课程

[原创]安卓CTF题

2019-6-7 21:33 3858

[原创]安卓CTF题

2019-6-7 21:33
3858

目录

Android逆向----某CTF题

静态分析

将目标文件,安装至夜神模拟器,打开后界面如图:

 

1559910114991

 

应该是某年的ctf大赛题。

 

随便输入序列号,弹出如下错误提示:

 

1559910219678

 

用AK打开,搜索字符串 “错误”,发现并没有找到

 

1559910290919

 

转换为Unicode ,搜索可以找到字符串,得知改字符串,在a.smail文件中调用

 

1559910361561

 

反编译对应的java文件,我们发现,影响程序执行流程的函数为

 

check()

 

如下图:

 

1559910469993

 

继续搜索check()函数,可以发现在M.smail文件中定义

 

1559910538108

 

同理转到M.smail对应java文件,发现check函数的实现为以下代码:

public void check(String paramString)
  {
    int i = 0;
    if (paramString.length() != 16) {
      throw new RuntimeException();
    }
    try
    {
      str1 = getKey();
      arrayOfInt = new int[16];
      arrayOfInt[0] = 0;
      arrayOfInt[12] = 14;
      arrayOfInt[10] = 7;
      arrayOfInt[14] = 15;
      arrayOfInt[15] = 42;
      arrayOfInt[1] = 3;
      arrayOfInt[5] = 5;
    }
    catch (Exception localException1)
    {
      try
      {
        String str1;
        System.out.println();
        arrayOfInt[6] = 15;
        arrayOfInt[2] = 13;
        arrayOfInt[3] = 19;
        arrayOfInt[11] = 68;
        arrayOfInt[4] = 85;
        arrayOfInt[13] = 5;
        arrayOfInt[9] = 7;
        arrayOfInt[7] = 78;
        arrayOfInt[8] = 22;
        if (i < paramString.length()) {
          if ((arrayOfInt[i] & 0xFF) != ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF))
          {
            throw new RuntimeException();
            localException1 = localException1;
            String str2 = getKey();
            System.arraycopy(str2, 0, paramString, 5, 5);
          }
        }
      }
      catch (Exception localException2)
      {
        for (;;)
        {
          int[] arrayOfInt;
          arrayOfInt[5] = 37;
          arrayOfInt[1] = 85;
          continue;
          i += 1;
        }
      }
    }
  }

我们现在对这个函数进行分析。

 

首先第一个判断为:

    if (paramString.length() != 16) {
      throw new RuntimeException();
    }
    //如果输入的字符串长度不是16,那么直接抛出一个异常, 我并不是很懂java

    //我用IDEA新建一个工程,将该函数原型定义并调用该函数,发现如果长度不为16将直接退出

原以为程序都完try块,没有产生异常,是会走final或者继续往下走,可是单单给前边几个初始化,并不能完成16个字节的校验,而且下面只进行了一次判断就退出,难道不应该是循环吗?

 

1559911079819

动态分析

为了证明我的猜想,我进行了动态调试,发现程序确实走到了catch块

 

1559912077749

 

那么,我们继续往下分析,第二个判断

        if (i < paramString.length()) {
          if ((arrayOfInt[i] & 0xFF) != ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF))//如果这里不相等,那么又将抛出异常
          {
            throw new RuntimeException();
            localException1 = localException1;
            String str2 = getKey();
            System.arraycopy(str2, 0, paramString, 5, 5);
          }
        }
      }

相比于OD的动态调试来说,这个还是很简单的,因为Android Studio 界面太大,切图太占地方,我将注释写在了每一行的smali代码上面

 

对应的smali为:(详细分析已注释)

:goto_2
invoke-virtual {p1}, Ljava/lang/String;->length()I

//v3=16
move-result v3
//v1=i
if-ge v1, v3, :cond_2

//v2是之前填充的那个数组,不懂smail,应该是从数组v2中取出下标为v1的值给上v3
aget v3, v2, v1

//v3和0xff进行与操作
and-int/lit16 v3, v3, 0xff

//p1是我们输入的字符串,v1下标,
invoke-virtual {p1, v1}, Ljava/lang/String;->charAt(I)C

//把上边取出的数据给上v4=array[i]
move-result v4

//v0为 字符串 "bobdylan"
invoke-virtual {v0}, Ljava/lang/String;->length()I

//取出值给v5,v5=8("bobdylan"的长度)
move-result v5

//v5=i%8
rem-int v5, v1, v5

invoke-virtual {v0, v5}, Ljava/lang/String;->charAt(I)C

//取出字符串数组 v0下标为  i%8 的值
move-result v5

// v4=array[i]和 v0[i%8] 进行异或
xor-int/2addr v4, v5

//和0xff进行and操作
and-int/lit16 v4, v4, 0xff

//如果相等,调到cond_1 (该处为 i++后,跳转到goto2:),确实是一个循环
if-eq v3, v4, :cond_1

new-instance v0, Ljava/lang/RuntimeException;

invoke-direct {v0}, Ljava/lang/RuntimeException;-><init>()V

throw v0

通过上述代码,我们可以得知

 

要想让代码正确,我们需要让下列条件满足

(arrayOfInt[i] & 0xFF) == ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF)

我们先提取arrayOfInt数组,提取后的值为(C语言):

    int nNum[] = { 00, 03, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42 };

str1,也就是密码表为

    char cCode[] = "bobdylan";

整体逻辑 可以表述为以下C代码:

    int nNum[] = { 00, 03, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42 };

    char cCode[] = "bobdylan";

    for (int i = 0; i < 16;i++)
    {
        //nNum[i]^

        int nIndex = i % 8;

        int nTmp = cCode[nIndex];

        printf("%c", nNum[i] ^ nTmp);

    }

打印结果为:blow,in the winD

 

1559913599521

 

尝试一波:

 

1559913646276

 

bingo!
(因为逆向安卓程序的经验并不多,错误之处,忘大佬们指正),不知道能不能发程序,所以有想要入手分析的小伙伴可以私信我



[公告]安全测试和项目外包请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2019-6-18 08:14 被与时尽现。编辑 ,原因:
上传的附件:
最新回复 (10)
fucksir 2019-6-8 10:09
2
0
try语句中是什么原因进入了catch了, 有没有可能是jd-gui丢失了一段代码?
最后于 2019-6-8 10:15 被fucksir编辑 ,原因:
与时尽现。 4 2019-6-8 10:41
3
0
我也是这样想的。

fucksir 2019-6-8 11:12
4
0
与时尽现。 我也是这样想的。
理解了很久,我还是不太明白,你是怎么根据java的逻辑反推出C这段代码从而输出正确的答案, 
AAAyangcheng 2019-6-8 18:26
5
0
有可能是getDey()函数内部发生异常
堂前燕 1 2019-6-9 11:57
6
0
.catch Ljava/lang/Exception;{:try_start .. :try_end}  :xxxx(catch)
.catch这是伪指令
mb_ykwjdkxn 2019-6-10 08:26
7
0
向大神学习,过几天有个考试
xuenixiang 1 2019-6-16 21:49
8
0
能分享一下程序吗
大波斯菊 2019-6-17 20:41
9
0
同求程序
与时尽现。 4 2019-6-18 08:15
10
0
刚看到,附件传上来了
切丝怕怕 2019-6-18 18:48
11
0
呃,表示jadx的反编译好看的多,按java顺序解析就出了

游客
登录 | 注册 方可回帖
返回