首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. CTF对抗
    3. 发新帖
[原创]强网杯2024 solve2-apk WriteUp
发表于: 2024-11-30 17:56 6485

[原创]强网杯2024 solve2-apk WriteUp

Aar0n 活跃值
2024-11-30 17:56
6485

我们首先使用jeb进行分析,搜索关键词success定位到逻辑
image-20241129233403123

外层函数是一个魔改tea,过了前32字节检测才能进入下一个函数进行判断
image-20241129233648640

即可得到前32位的正确数据,将后面的测试数据放在>后继续在H0.a.successWithString()中进行二轮check
进入这个函数即可看到两个[256]的sbox,将部分数据搜索即可知为twofish算法
image-20241130153432307

image-20241130153245125

找到源码与jeb里的很相似

[link]:https://android.googlesource.com/platform/tools/base/+/master/jobb/src/main/java/Twofish/Twofish_Algorithm.java

image-20241130154603346

我们在H0.a.c处下断点动调获取key

image-20241130164840825

image-20241130165101102

即可得到twofish的key
根据代码可知有两段data[16],我们可以对v2[15]下断点得到所有的data
image-20241130165748281

即可得到前半段flag,我们将前半部分flag输入进去再进行check即可得到part2的check

Come on you are about to get it>flag{iT3N0t7H@tH111111111111111}

之后有对我们传入的测试值的flag的part2的异或数据提取出来(这第二段算法是rc4,直接将加密后的值异或回去即可得到)
image-20241130174040159

将这段数据异或我们的输入再异或data2[16]即可还原得到第二段flag

这wp应该是出题人的预期解,本人走了许多弯路最终写出这份wp供大家学习

#include <iostream>
#include <cstdio>
#include <stdint.h>  // For uint32_t
using namespace std;
 
void tea_decrypt(uint32_t* v) {
    uint32_t v0 = v[0], v1 = v[1], sum = 0xC6EF3720, i;
    uint32_t delta = 0x9e3779b9;
    uint32_t k[5] = { 598323648, 1213115916, 970832168, 274853062};
     
    for (i = 0; i < 32; i++) {
 
        v1 -= (((v0 << 4) + k[2] ^ v0) + (sum ^ (v0 >> 5)) + k[3]);
        v0 -= (((v1 << 4) + k[0] ^ v1) + (sum ^ (v1 >> 5)) + k[1]);
        sum -= delta;
    }
    v[0] = v0;
    v[1] = v1;
}
 
uint32_t switchEndian(uint32_t num) {
    return ((num >> 24) & 0x000000FF) | // 取最高字节
           ((num >> 8) & 0x0000FF00) | // 取第二字节
           ((num << 8) & 0x00FF0000) | // 取第三字节
           ((num << 24) & 0xFF000000); // 取最低字节
}
 
int main() {
    uint32_t key[] = { 598323648, 1213115916, 970832168, 274853062 };
 
    uint32_t data[] = {
        0x5E5440B0, 2057046228, 0x4A1ED228, 0x233FE7C, 0x96461450, 0x88A670ED, 0xF79BFC89, 0x20C3D75F,0
    };
 
    for (int i = 0; i < 8; i += 2) {
        tea_decrypt(&data[i]);
    }
     
    for (int i = 0; i < 8; ++i) {
         data[i] = switchEndian(data[i]);
    }
    printf("%s",data);
     
    return 0;
}
// Come on you are about to get it>
#include <iostream>
#include <cstdio>
#include <stdint.h>  // For uint32_t
using namespace std;
 
void tea_decrypt(uint32_t* v) {
    uint32_t v0 = v[0], v1 = v[1], sum = 0xC6EF3720, i;
    uint32_t delta = 0x9e3779b9;
    uint32_t k[5] = { 598323648, 1213115916, 970832168, 274853062};
     
    for (i = 0; i < 32; i++) {
 
        v1 -= (((v0 << 4) + k[2] ^ v0) + (sum ^ (v0 >> 5)) + k[3]);
        v0 -= (((v1 << 4) + k[0] ^ v1) + (sum ^ (v1 >> 5)) + k[1]);
        sum -= delta;
    }
    v[0] = v0;
    v[1] = v1;
}
 
uint32_t switchEndian(uint32_t num) {
    return ((num >> 24) & 0x000000FF) | // 取最高字节
           ((num >> 8) & 0x0000FF00) | // 取第二字节
           ((num << 8) & 0x00FF0000) | // 取第三字节
           ((num << 24) & 0xFF000000); // 取最低字节
}
 
int main() {
    uint32_t key[] = { 598323648, 1213115916, 970832168, 274853062 };
 
    uint32_t data[] = {
        0x5E5440B0, 2057046228, 0x4A1ED228, 0x233FE7C, 0x96461450, 0x88A670ED, 0xF79BFC89, 0x20C3D75F,0
    };
 

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

最后于 2024-11-30 17:59 被Aar0n编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (6)
北门观雪
雪    币: 3803
活跃值: (5350)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
图挂了呢
2024-11-30 23:22
0
Aar0n
雪    币: 906
活跃值: (121)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
北门观雪 图挂了呢[em_004]
图片挂了图床,需要魔法
2024-12-1 00:48
1
Aar0n
雪    币: 906
活跃值: (121)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
北门观雪 图挂了呢[em_004]
按理应该看得到的
2024-12-1 00:50
1
mb_ldbucrik
雪    币: 10
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
5
可以看的到
2024-12-1 09:03
0
墨穹呢
雪    币: 2319
活跃值: (3097)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
感谢分享
2024-12-1 10:51
0
tlsn
雪    币: 221
活跃值: (1265)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
强的
2024-12-11 23:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//