题目要求：找出flag

0x01 前景

一个经过360加固了的APK，我们先用FART脱壳

脱壳带走，分析test

Native化，准备干libso

0x02 操作

==================================开始操作===================================

首先查看init.array部分，它的运行时机真的很早。

窥探一下这里的两个内容：第一个函数.datadiv是异或解密【双击进去后分析逻辑得到】

第二个byte_8905是个被加密过的字节

我们接着看JNI_OnLoad，可以发现只动态注册了一个函数，那我们有理由猜测是test

在动态注册时，我们通过观察IDA的.data.rel.ro需要知道方法结构体信息：

typedef struct {
const char* name;
const char* signature;
void*       fnPtr;
} JNINativeMethod;

结构体包含三部分分别是：方法名、方法的签名、对应的native函数地址；

那么这里我们肯定重点看第三部分，因为要找到具体的解密函数，这时候我们需要在动态注册段对应上：

我们来验证一下：

函数名

byte_1C066：0x87, 0x96, 0x80, 0x87, 0xF3, 0, 0, 0, 0, 0

长度为4

[0]=0x87 ^ 0xF3 = 0x74 = t

[1]=0x96 ^ 0xF3 = 0x65 = e

[2]=0x80 ^ 0xF3 = 0x73 = s

[3]=0x87 ^ 0xF3 = 0x74 = t

合成得：test

所以这是test函数名

函数签名信息

byte_1C070解密后是：(Ljava/lang/String;)Z

正好就是boolean test(string content)

函数注册地址

之后我们来到OOXX函数观看流程，发现JUMPOUT函数，而且进入sub_8930函数查看了一些逻辑之后发现流程晦涩难懂。

当我们遇到晦涩难懂的问题时，不如尝试去用用Frida。

====================================转换思路=========================================

一直以来想用Frida解开一道这种验证输入的题，奈何没有找到机会，这一次想尝试一下：

//新建frida_test.js
function hookstrcmp(){
    Java.perform(function() {
        console.log("I am a Hook function");
        var strcmp = Module.findExportByName("libc.so","strcmp");//这里发现无论“libnative-lib.so”还是“libc.so”都是一样的地址
        console.log("find strcmp:",strcmp);
        Interceptor.attach(strcmp, {
            onEnter: function (args) {
                    //hook住后打印strcmp的第一个参数和第二个参数的内容
                    console.log("[*] strcmp (" + ptr(args[0]).readCString() + "," + ptr(args[1]).readCString()+")");
            
            },onLeave:function(retval){}
        });
    })
}

启动frida并attach app的进程

frida -U com.kanxue.test -l frida_test.js

首先敲入

hookstrcmp()

然后再在手机端敲入“bangbang”

观察电脑端日志

我打印出来了整个运行过程中的strcmp，发现只有一处和bangbang进行了比较

毋庸置疑，kanxuetest即flag值

0x03 验证

所以，kanxuetest就是flag。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。