看雪CTF2017第十二题简单解析
作 者:loudy
使用工具:IDA6.8(so修改、反汇编分析、动态调试) notepad(记录) vc6.0(编程解码) android sdk emulator(android4.4虚拟机) jeb(dex反编译) ApkIDE(修改DEX、重打包)
步 骤:
一、反逆向手段绕过
(1)dex层
直接JEB分析,如下图3处红线标注的地方有MD5校验。
绕过方法也很简单,ApkIDE反编译,修改下图61行的if-eqz为if-neq,并重新打包,即可直接跳过MD5检测。打包时,也许会提示某个styles.xml的几行有问题,删除那几行即可。
(2)so层
用IDA连接,程序直接退出,故肯定有反调试手段。用winrar对apk文件解包后,发现lib目录有3个不同的so文件,如下,其中armeabi-v7a文件夹下的libenjoy.so文件才是我的android4.4系统需要的,分析此文件。
IDA载入,静态分析,没有发现.init表,那么我们重点分析JNI_OnLoad函数。其中sub_24B8和sub_281C是两个主要的反调试函数。
而sub_2350和sub_2378都是同一种形式的解码函数,即按字节依次与0x16异或,解密结果都是字符串,这种函数后面还有很多,不一一介绍。
JNI_OnLoad中第14行解码结果为“check”,也即dex调用的本地函数,再看17行,跟踪到如下位置,发现check函数的实际地址为sub_3748。
而此处作者也用了一个小手段,自己新建了一个名为.mytext的可执行段,sub_3748在其中实现,导致IDA在默认的.text段找不到该函数,有一定的反逆向效果。
再看JNI_OnLoad函数调用的sub_24B8函数,该函数的主要作用是读取/data/dalvik-cache/目录下的data@app@com.game.kxctf-1.apk@classes.dex文件或者data@app@com.game.kxctf-2.apk@classes.dex文件的校验值,结果与“E07784C2A2923354F18952BBDB5D81916D24D2F5”比较,不等于则exit(0)退出程序。
绕过方法也很简单直接将JNI_OnLoad中对该函数的调用以0x00覆盖即可。
JNI_OnLoad函数调用的sub_281C函数,实际就是调用sub_1B04如下,该函数创建了一个线程。
跟进后,发现线程主体如下。其中sub_25A8函数获取/proc/%d/status的State,看其中是否包含“R/S/T”。sub_2628 获取/proc/%d/status的TracerPid,看是否为非0值。sub_2688执行cat /proc/%d/wchan,看结果中是否包含sys_epoll或者ptrace_stop。sub_24B8之前已经分析。
从分析可以知道,该线程没有影响算法流程,因此也可以直接在JNI_OnLoad中将对sub_281C的调用以0x00覆盖,实现绕过。
最后在check函数sub_3748开头还有一处反调试,如下,分析发现sub_27B4功能和sub_24B8一模一样,不再累述,直接将调用处用0x00覆盖实现绕过。
二、算法流程分析
反逆向手段清除后就可以大胆调试,跟踪算法流程了。流程分dex层和so层两个方面讲。
(1)dex层
JEB分析结果很直观,将三个函数分别对输入字符串的处理结果连接起来,送入so层处理,如果so层处理结果为1,则正确。
ca.a是base64编码,ba.a、ab.a也分别是一种编码,虽然有三种编码,但实际分析后发现,ca.a和ba.a都不起作用,实际只有ab.a参与了算法流程,该函数如下。
public static String a(String input) {
return ab.encrypt(input);
}
public static String encrypt(String input) {
String v3 = "";
int v2;
for(v2 = 0; v2 < input.length(); ++v2) {
int v0 = input.charAt(v2);
if(v0 < 97 || v0 > 109) {
if(v0 >= 65 && v0 <= 77) {
v3 = String.valueOf(v3) + (((char)(v0 + 13)));
goto label_20;
}
if(v0 >= 110 && v0 <= 122) {
v3 = String.valueOf(v3) + (((char)(v0 - 13)));
goto label_20;
}
if(v0 >= 78 && v0 <= 90) {
v3 = String.valueOf(v3) + (((char)(v0 - 13)));
goto label_20;
}
if(v0 >= 48 && v0 <= 57) {
v3 = String.valueOf(v3) + (((char)(v0 ^ 7)));
goto label_20;
}
v3 = String.valueOf(v3) + (((char)(v0 ^ 6)));
}
else {
v3 = String.valueOf(v3) + (((char)(v0 + 13)));
}
label_20:
}
return v3;
}
此时无需更加深入分析,可以等so反推之后再爆破。
(2)so层
so层流程其实很简单。
1、 判断dex层传来的数据是否大于0x78(其实此时就是0x78),大于则over。
2、 截取前0x24位(即dex层ab.a函数处理结果),并在结尾补4个4成0x28位。
3、 用密钥{0xFD, 0xB4, 0x68, 0x54, 0x08, 0xCD, 0x56, 0x4E}对此0x28位进行DES加密(非标准)(实际操作时,密钥转换为子密钥总有一两位不同,故直接在内存提取子密钥表,取消密钥生成过程)
4、 DES结果第0x20、0x21、0x22,0x23位替换密钥{0x65, 0x48, 0x32, 0xEF, 0xBA, 0xCD, 0x56, 0x4E, 0x0F, 0x9B, 0x1D, 0x27, 0x0, 0x0, 0x0, 0x0}的最后四位。
5、 用上一步的密钥对DES结果前0x20位进行RC6加密。
6、 RC6加密(非标准)结果与0x42D3C3C2, 0xF12AE92D, 0x66C92822, 0x2CEB540E,0x9407E577, 0x4A92B792, 0x2E5DFDF0, 0xF3549FC6比较,全部相等则注册成功。
三、破解过程
流程梳理清楚就好了,首先通过调试修改标准DES和RC6与程序所用一致。
其中DES修改较小,RC6修改较大,分别如下。一般RC6加密Q值为0x9E3779B9,而静态分析可知此程序为0x61C88647(即-0x9E3779B9)。
另外RC6的密钥会有个反馈,不是每次块(0x10字节)加密都用同一个密钥,对照IDA将C代码做如下修改,其中kerr为下一次加解密的密钥。
这两个函数调整好后(这是一个漫长的跟踪过程),事情就好办了。
由于DES为ECB模式,8字节独立加密。根据已知条件前8字节为“kxuectf{”得到加密结果0x4C,0xD9, 0xA3, 0xE6, 0xED, 0xFE, 0xD1, 0x05。
由最后一个字节为“}”, ab.a函数处理后为“{”,所以DES加密的最后8字节为x,x,x,{,4,4,4,4,其中x为未知数。编写如下代码爆破,得到结果“a>6”。
for(char i=0x20;i<0x7f;i++)
for(char j=0x20;j<0x7f;j++)
for(char k=0x20;k<0x7f;k++)
{
str[0] = i;
str[1] = j;
str[2] = k;
memset ( str2, 0, sizeof ( str2 ) );
Des_Run ( str2, str, ENCRYPT );
key1[12]=str2[0];
key1[13]=str2[1];
key1[14]=str2[2];
key1[15]=str2[3];
rc6_key_setup(key1, 16);
rc6_block_decrypt(ct, pt);
if(pt[0]==stro[0] && pt[1]==stro[1])
{
printf("%c%c%c%c\n",str[0],str[1],str[2],str[3]);
}
}
由此得到正确RC6密钥{0x65, 0x48, 0x32, 0xEF, 0xBA, 0xCD, 0x56, 0x4E, 0x0F, 0x9B, 0x1D, 0x27, 0x13, 0x6a, 0x7e, 0x1F}。
利用此密钥对0x42D3C3C2, 0xF12AE92D, 0x66C92822, 0x2CEB540E,0x9407E577, 0x4A92B792, 0x2E5DFDF0, 0xF3549FC6解密,得到结果“xkhrpgs}Q4pelcgrq6fI4elyagrer2gv”,加上“a>6{”,即“xkhrpgs}Q4pelcgrq6fI4elyagrer2gv a>6{”为正确的进入so的字符串。
通过如下函数爆破。
#include <stdio.h>
char test[] = "xkhrpgs}Q4pelcgrq6fI4elyagrer2gva>6{";
char getit(char a){
if(a<97 || a>109){
if(a>=48 && a <=57){
return a^7;
}
else if(a>=65&&a<=77){
return a+13;
}
else if(a>=78&&a<=90){
return a-13;
}
else if(a>=110 && a<=122){
return a-13;
}
else{
return a^6;
}
}
else{
return a+13;
}
}
int main(){
for(int j=0;j<36;j++){
printf("%d ",j);
for(char a=0x20;;a++){
if(getit(a)==test[j]){
printf("%c ",a);
}
if(a==0x7f) break;
}
printf("\n");
}
return 0;
}
如果剔除掉特殊字符,得到注册码为
“kxuectf{D3crypted1sV3rylntere5tin91}”输入模拟器,正确。当然如果算上特殊字符,此题多解,不多解释。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法