首页
论坛
课程
招聘
[原创]2022腾讯游戏安全竞赛安卓客户端决赛writeup
2022-4-28 12:05 12560

[原创]2022腾讯游戏安全竞赛安卓客户端决赛writeup

2022-4-28 12:05
12560

外挂运行逻辑

外挂进程先通过java层解密出sock001并运行,读取数据到/sdcard/1A.txt文件中,然后外挂进程native层不断读取/sdcard/1A.txt文件中的数据,同时调用java层的绘图函数,实现透视。

java层分析

在查看外挂apk给的so,发现里面并没有远程读写的代码,怀疑是新起了一个进程,在assert文件夹下发现了可疑的以sock开头的几个文件

 

image-20220424171236773

 

用010打开,发现所有文件都是被加密过的,看不出来是什么东西

 

image-20220424171313317

 

开始在java层上找解密的地方,java层被混淆的很厉害,最终在MainActivity中找到了解密的地方

 

image-20220424171504527

 

这里是对sock1进行解密,跟进去,是非常明显的rc4加密,密钥为gamesec

 

image-20220424171543856

 

本地用python对sock1进行解密

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
# coding=utf-8
 
 
 
DEFAULT_KEY = ""
 
 
def rc4(data, key=DEFAULT_KEY, skip=1024):
    x = 0
    box = range(256)
 
    x = 0
    for i in range(256):
        x = (x + box[i] + ord(key[i % len(key)])) % 256
        tmp = box[i]
        tmp2 = box[x]
        box[i] = box[x]
        box[x] = tmp
 
    x = 0
    y = 0
    out = []
    if skip > 0:
        for i in range(skip):
            x = (x + 1) % 256
            y = (y + box[x]) % 256
            box[x], box[y] = box[y], box[x]
 
    for char in data:
        x = (x + 1) % 256
        y = (y + box[x]) % 256
        box[x], box[y] = box[y], box[x]
        k = box[(box[x] + box[y]) % 256]
        out.append(chr(ord(char) ^ k))
 
    return out
 
 
if __name__ == '__main__':
    # handle input file or stream
    import sys
 
    tt = open("sock1", "rb")
    ww = tt.read()
    decrypt_files=rc4(ww, "gamesec", 0)
    decttt=open("sock1dec","wb")
    decttt.write("".join(decrypt_files))

解密后,再用010打开,发现是一个安卓上的elf可执行文件

 

image-20220424171724232

 

同时这里java层采用shell命令,启动了进程,可以用ps -ef查看启动进程的参数

 

image-20220424171827520

 

发现是2236 1080,这两个是我测试手机屏幕的高宽,后面会用到

外挂的native层分析

image-20220425185521112

 

从函数名都可以知道,外挂的native层主要是读取文件数据,然后调用java层绘图函数画图的,这里并不是重点。

解密后的elf文件分析

用ida打开后发现区段只有两个,明显是被加壳了

 

image-20220424172012993

 

怀疑是upx的壳,用010查看upx的特征,发现被改动了

 

image-20220424172041349

 

upx的字符串都被替换成了ue4,同时和正常upx加壳的对比,还删掉了声明,尝试手动修复,修复不了,转而采用动态调试方式找到oep入口,因为有反调试,调试器无法attach,老是报奇怪的错,后面才知道是信号的问题,由于调试过程中,老是会跑飞到linker里面,所以萌生了在底层函数上下断的想法,最直接是在libc_init这个函数下断,然后第三个参数就是main函数。

 

image-20220424172535760

 

先单步到这,linker位置,此时libc已加载,再跟到libc中下断

 

image-20220424172618629

 

成功断下,r2寄存器里面此时是main函数的地址,在main函数下断,f9,此时是程序真正的入口了,发现里面混淆的非常严重

 

image-20220424172800636

 

主要混淆有字符串加密以及控制流平坦化,这里想办法脱壳并且去掉混淆先,方便调试

脱变种upx的壳

这里通过010editor发现里面的upx字符串都被改成ue4,然后用upx -d直接不识别为upx,应该是本地被patch修改过了,尝试修复

第一步 替换字符串

将所有的出现的ue4!字符串改成upx!,算是最基本的特征了

 

image-20220425180220663

 

搜索UE4,发现有四个,其中小写的不用改,将其他改为UPX

第二步删除结尾的hack

image-20220425180500597

 

这里主要是对比了其他upx加壳后的文件,发现基本都是3个0x00结尾

 

的,所以这里要删除

第三步修复p_info值

从文件尾部继续找倒数第一个和倒数第二个UPX!,距离倒数第一个UPX!的20个字节处,为正确的p_info值,取出并填入距离第一个UPX!字符串8个字节的位置。

 

取出的值0x0004f9ec

 

image-20220425181807434

 

填入的位置

 

image-20220425182015774

第四步 修复文件头填入.ELF

再次用upx -d尝试发现已经能识别出upx了,但是还是报错了

 

image-20220425182507772

 

这里通过查看upx源码https://github.com/upx/upx,以及调试upx官方可执行程序,发现在一处文件头的对比中,我的数据是4个0x00,所以报错了,upx源码,同样找到了这个逻辑

 

image-20220425182810959

 

说明需要去填入.ELF, 填入位置参考了其他upx加壳文件,在距离第一个UPX!字符串的第28个字节开始填入

 

image-20220425183105690

第五步 修复b_info

再用upx -d,发现还是报错了,但是报错信息更新了

 

image-20220425183222394

 

通过搜索upx源码的字符串,找到这里关键对比逻辑

 

image-20220425183310336

 

通过调试upx官方程序,发现这里blocksize一直为0,所以报错

 

image-20220425183407663

 

在这里下断,找到了位置了,同时我自己在本地用upx加壳后的程序进行对比,找规律,发现p_info的那个值要和blocksize相同。

 

image-20220425183600116

第六步 最终脱壳

image-20220425183748653

 

心情还是比较激动的,折腾挺久的了

去除混淆

去控制流平坦化混淆

可以看出是release版本的控制流平坦化,为了方便,这里用ida 插件https://github.com/obpo-project/obpo-plugin,来去掉混淆,主函数去除混淆前:

 

image-20220424181457174

 

然后这里用这个插件来去掉,右键在函数主分发块上点击OBPO

 

image-20220424181601986

 

点击mark and process function,再连续按两次f5,去除混淆成功

 

主函数去掉混淆后:

 

image-20220424181740779

 

效果非常好,伪代码非常清晰

去除字符串加密

发现每个函数要用的字符串都被加密起来了,解密逻辑都在函数的开头.

 

image-20220424201339186

 

而且执行过后,并没有再次加密,这里可以采用先让外挂正常运行一遍,然后dump下来,再把解密后的字符串patch到之前没有解密字符串的程序中。

 

image-20220424203443548

类似shellcode部分

image-20220424204515256

 

image-20220424204935908

 

在调试过程中,发现sock1将sock002、sock003、sock004、sock005都进行了密钥为TencentGameSecurity的rc4算法解密,并且发现sock001文件中间有空缺,

 

image-20220425100132263

 

空缺的位置的似乎就是那几个文件,本地重新分析一个安卓可执行elf文件,对照的分析,得出结论sock002解密后对应的是program table,并在调试中确定了这点

 

image-20220425104318674

 

解析sock002(progame table),然后将sock001的要加载的代码加载进内存,然后下一步是通过解密后的sock005进行重定位,解密后的sock005为.rel.plt section

 

image-20220425112112605

 

sock003解密后,本地查看发现很明显是动态链接的字符串表

 

image-20220425105240838

 

sock004dec 经过对比,发现是动态符号表,几个文件的代表意义都知道了,继续分析,相当于自实现了一个linker,再继续调试时发现pc值跳到了sock001、sock002、sock003、sock004、sock005加载到内存中的区间,说明sock1进程相当于执行了一段这几个文件的shellcode,最终进入了这个外挂的关键函数

 

image-20220424205744937

 

这里为了证实这个函数是那几个文件中的,用010去搜机器码的十六进制

 

image-20220424210021286

 

是可以搜的,同时内存地址,也是在几个文件加载进内存中的地址区间。

反调试

  1. 打开/data/local/tmp文件夹将每个文件名与re.frida.server对比
  2. 用opendir函数打开了/proc/self/task,检测线程数是否为2
  3. 用popen函数调用 cat /proc/net/tcp | grep : 0x69A2,检测27042端口
  4. 用popen函数调用 cat /proc/net/tcp | grep : 0x5d8a ,检测23946端口
  5. 用popen函数调用ls /proc/self/fd -all,并将每一行内容拼接成一句字符串,判断是否包含frida和injector这两个字符串
  6. 通过signal函数设置了信号处理函数,并通过memove函数故意插入了断点指令

image-20220424210722500

 

​ 并设置pc值为此内存地址,触发异常,调试器会接受到此异常

 

image-20220424210842056

 

​ 如果没有调试器,则信号由先前设置的信号处理函数处理,跟进信号处理函数,会发现同样调用了momove函数,将之前的数据覆盖到断点指令上,程序回归正常。

外挂原理分析

透视

核心函数位于sock001偏移的0x8490

获取游戏进程pid和libUE4.so基地址

  1. 先获取游戏进程com.YourCompany.ThirdPerson的pid
  2. 通过读取/proc/pid/maps文件拿到libUE4.so的基地址base

获取Actors

  1. 通过Gworldptr+base=base+0x491E6F0读出Gworld
  2. 通过Gworld+0x20读出Level* PersistentLevel
  3. 通过PersistentLevel+0x70读出Actors(里面包含ptr和size)

获取gName

  1. 通过base+0x48711B4读出gNameptr
  2. 通过gNameptr读出gName

获取 gmarixptr

  1. 通过base+0x4907ea0读出ULocalPlayer::~ULocalPlayer()
  2. 通过ULocalPlayer::~ULocalPlayer() +0x20读出APlayerController::~APlayerController()
  3. 通过APlayerController::~APlayerController()+0x30c读出APlayerCameraManager::~APlayerCameraManager()
  4. APlayerCameraManager::~APlayerCameraManager()+0x320是APlayerCameraManager中CameraCacheEntry CameraCache对象的MinimalViewInfo POV的偏移,这里我称之为 POVPtr

image-20220425015244260

遍历actors

  1. 初始循环变量yk为0,不断加1
  2. 不可以超过上面得到TArray<AActor*> Actors的size
  3. 通过Actors的ptr+循环变量yk*4拿到对应的actor[yk]
  4. 通过actor[yk]+0x10读出FNameIndex
  5. FNameIndex分别除以0x4000和取余0x4000得到page和idx
  6. 如果gname[page]等于0,将gname+page*4的值读出,赋值给gname[page]
  7. 如果不为0,则通过gname[page]+yk*4读出actornameptr
  8. 通过actornameptr读出actorname
  9. 判断是否等于ThirdPersonCharacter、ThirdPersonCharacter2、ThirdPersonCharacter3其中之一
  10. 如果不是,则继续循环
  11. 如果是,则通过actor[yk]+0x120拿到SceneComponent* RootComponent
  12. 再通过SceneComponent* RootComponent+0x100读出Vector RelativeLocation
  13. 拿到actor对应的三维坐标

image-20220425003552530

计算屏幕坐标

  1. 接着上面循环所讲的,拿到actor对应的三维坐标
  2. 通过上面获取数据所说的POVPtr读出MinimalViewInfo POV
  3. worldtoscreen函数将MinimalViewInfo POV->Location.x、 MinimalViewInfo POV->Location.y、 MinimalViewInfo POV->Location.z 、 MinimalViewInfo POV->Rotation.Pitch、 MinimalViewInfo POV->Rotation.Yaw、MinimalViewInfo POV->Rotation.Roll以及actor对应的三维坐标作为参数进行运算,算出屏幕坐标

image-20220425022429959

 

​ 跟进去分析一下是如何做转换的

 

image-20220425034106204

 

发现是将pitch yaw roll,传入函数并转化为matrix矩阵,为了后续的计算。

 

同时在github上找到类似的三维转换二维的代码https://github.com/kp7742/PUBGPatcher/blob/27628b3ff53e0766e7084a82b293bb58ee6c426b/Daemon/jni/Server/StructsCommon.h

 

image-20220425034640328

 

不过这里计算并没有fov,其他倒是差不多

 

image-20220425034732985

将计算后的屏幕坐标输出到/sdcard/1A.txt文件中

image-20220425004009517

读取数据方式

远程读写的操作都集中在这个getprocessvalue函数(自命名)中

 

image-20220425114453625

 

根据不同情况选择用syscall或者process_vm_readv来进行远程读写

总结

第一次参与这个比赛,还是挺多收获的,感谢主办方和出题人了,也希望看wp的师傅们也能有所收获2333。


【看雪培训】《Adroid高级研修班》2022年夏季班招生中!

收藏
点赞15
打赏
分享
最新回复 (15)
雪    币: 2343
活跃值: 活跃值 (1562)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
TUGOhost 活跃值 2022-4-28 12:58
2
0
mark
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
憨豆爆发 活跃值 2022-4-28 13:39
3
0
厉害  长见识了
雪    币: 165
活跃值: 活跃值 (164)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Andy_877594 活跃值 2022-4-28 13:54
4
0
看不懂系列
雪    币: 1468
活跃值: 活跃值 (2210)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
smallzhong_ 活跃值 2022-4-28 15:33
5
0
厉害
雪    币: 3553
活跃值: 活跃值 (3878)
能力值: ( LV10,RANK:177 )
在线值:
发帖
回帖
粉丝
YenKoc 活跃值 2 2022-4-28 15:50
6
0
smallzhong_ 厉害
感谢大佬肯定
雪    币: 6645
活跃值: 活跃值 (2739)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
v0id_ 活跃值 2022-4-28 16:21
7
0
YK大佬太强了
雪    币: 84
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
LLeaves 活跃值 2022-4-28 20:39
8
0
呜呜呜,什么时候能有Yenkoc
雪    币: 4
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
IndexGuc 活跃值 2022-5-12 11:44
9
0
复杂到劝退了属于是
雪    币: 15
活跃值: 活跃值 (271)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
科科搞安全 活跃值 2022-5-16 13:06
10
0
YK大佬太强了
雪    币: 2032
活跃值: 活跃值 (86)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
XCCCC 活跃值 2022-5-16 16:01
11
0
YK大佬tql
雪    币: 891
活跃值: 活跃值 (590)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
活跃值 2022-5-16 16:06
12
0
怎么判断出是upx的?是熟悉upx的特征吗
雪    币: 288
活跃值: 活跃值 (98)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
力霸天 活跃值 2022-5-17 12:09
13
0
牛逼牛逼,功底太强了,不管是分析流程还是手脱变种upx,太强了
雪    币: 14264
活跃值: 活跃值 (3264)
能力值: ( LV13,RANK:835 )
在线值:
发帖
回帖
粉丝
大帅锅 活跃值 4 2022-5-17 14:25
14
0
upx变种壳从内存dump出来应该也可以看吧
雪    币: 3553
活跃值: 活跃值 (3878)
能力值: ( LV10,RANK:177 )
在线值:
发帖
回帖
粉丝
YenKoc 活跃值 2 2022-5-17 16:53
15
0
对的,其实upx特征就那些字符串,然后看区段也可以看出来,以及初赛的壳就是upx,更容易往这方面去想
雪    币: 275
活跃值: 活跃值 (408)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
浮夸进进 活跃值 2022-5-19 11:32
16
0
感谢分享,TQL
游客
登录 | 注册 方可回帖
返回