-
-
[原创]安卓CTF题
-
发表于: 2019-6-7 21:33
-
Android逆向----某CTF题
静态分析
将目标文件,安装至夜神模拟器,打开后界面如图:
应该是某年的ctf大赛题。
随便输入序列号,弹出如下错误提示:
用AK打开,搜索字符串 “错误”,发现并没有找到
转换为Unicode ,搜索可以找到字符串,得知改字符串,在a.smail文件中调用
反编译对应的java文件,我们发现,影响程序执行流程的函数为
check()
如下图:
继续搜索check()函数,可以发现在M.smail文件中定义
同理转到M.smail对应java文件,发现check函数的实现为以下代码:
public void check(String paramString)
{
int i = 0;
if (paramString.length() != 16) {
throw new RuntimeException();
}
try
{
str1 = getKey();
arrayOfInt = new int[16];
arrayOfInt[0] = 0;
arrayOfInt[12] = 14;
arrayOfInt[10] = 7;
arrayOfInt[14] = 15;
arrayOfInt[15] = 42;
arrayOfInt[1] = 3;
arrayOfInt[5] = 5;
}
catch (Exception localException1)
{
try
{
String str1;
System.out.println();
arrayOfInt[6] = 15;
arrayOfInt[2] = 13;
arrayOfInt[3] = 19;
arrayOfInt[11] = 68;
arrayOfInt[4] = 85;
arrayOfInt[13] = 5;
arrayOfInt[9] = 7;
arrayOfInt[7] = 78;
arrayOfInt[8] = 22;
if (i < paramString.length()) {
if ((arrayOfInt[i] & 0xFF) != ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF))
{
throw new RuntimeException();
localException1 = localException1;
String str2 = getKey();
System.arraycopy(str2, 0, paramString, 5, 5);
}
}
}
catch (Exception localException2)
{
for (;;)
{
int[] arrayOfInt;
arrayOfInt[5] = 37;
arrayOfInt[1] = 85;
continue;
i += 1;
}
}
}
}
我们现在对这个函数进行分析。
首先第一个判断为:
if (paramString.length() != 16) {
throw new RuntimeException();
}
//如果输入的字符串长度不是16,那么直接抛出一个异常, 我并不是很懂java
//我用IDEA新建一个工程,将该函数原型定义并调用该函数,发现如果长度不为16将直接退出
原以为程序都完try块,没有产生异常,是会走final或者继续往下走,可是单单给前边几个初始化,并不能完成16个字节的校验,而且下面只进行了一次判断就退出,难道不应该是循环吗?
动态分析
为了证明我的猜想,我进行了动态调试,发现程序确实走到了catch块
那么,我们继续往下分析,第二个判断
if (i < paramString.length()) {
if ((arrayOfInt[i] & 0xFF) != ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF))//如果这里不相等,那么又将抛出异常
{
throw new RuntimeException();
localException1 = localException1;
String str2 = getKey();
System.arraycopy(str2, 0, paramString, 5, 5);
}
}
}
相比于OD的动态调试来说,这个还是很简单的,因为Android Studio 界面太大,切图太占地方,我将注释写在了每一行的smali代码上面
对应的smali为:(详细分析已注释)
:goto_2
invoke-virtual {p1}, Ljava/lang/String;->length()I
//v3=16
move-result v3
//v1=i
if-ge v1, v3, :cond_2
//v2是之前填充的那个数组,不懂smail,应该是从数组v2中取出下标为v1的值给上v3
aget v3, v2, v1
//v3和0xff进行与操作
and-int/lit16 v3, v3, 0xff
//p1是我们输入的字符串,v1下标,
invoke-virtual {p1, v1}, Ljava/lang/String;->charAt(I)C
//把上边取出的数据给上v4=array[i]
move-result v4
//v0为 字符串 "bobdylan"
invoke-virtual {v0}, Ljava/lang/String;->length()I
//取出值给v5,v5=8("bobdylan"的长度)
move-result v5
//v5=i%8
rem-int v5, v1, v5
invoke-virtual {v0, v5}, Ljava/lang/String;->charAt(I)C
//取出字符串数组 v0下标为 i%8 的值
move-result v5
// v4=array[i]和 v0[i%8] 进行异或
xor-int/2addr v4, v5
//和0xff进行and操作
and-int/lit16 v4, v4, 0xff
//如果相等,调到cond_1 (该处为 i++后,跳转到goto2:),确实是一个循环
if-eq v3, v4, :cond_1
new-instance v0, Ljava/lang/RuntimeException;
invoke-direct {v0}, Ljava/lang/RuntimeException;-><init>()V
throw v0
通过上述代码,我们可以得知
要想让代码正确,我们需要让下列条件满足
(arrayOfInt[i] & 0xFF) == ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF)
我们先提取arrayOfInt数组,提取后的值为(C语言):
int nNum[] = { 00, 03, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42 };
str1,也就是密码表为
char cCode[] = "bobdylan";
整体逻辑 可以表述为以下C代码:
int nNum[] = { 00, 03, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42 };
char cCode[] = "bobdylan";
for (int i = 0; i < 16;i++)
{
//nNum[i]^
int nIndex = i % 8;
int nTmp = cCode[nIndex];
printf("%c", nNum[i] ^ nTmp);
}
打印结果为:blow,in the winD
尝试一波:
bingo!
(因为逆向安卓程序的经验并不多,错误之处,忘大佬们指正),不知道能不能发程序,所以有想要入手分析的小伙伴可以私信我
最后于 2019-6-18 08:14
被Kalendsi编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
理解了很久,我还是不太明白,你是怎么根据java的逻辑反推出C这段代码从而输出正确的答案, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
刚看到,附件传上来了
|
|
|
呃,表示jadx的反编译好看的多,按java顺序解析就出了
 |
