路漫漫其修远兮,吾将上下而求索。 看雪ctf板块中:
安装apk,需逆向寻找正确的flag,输入错入flag,提示如下 将AliCrackme2_1.apk使用jadx打开,从提示信息入手,搜索:这是Cobb暗恋班花的记忆,奈何物是人非! 可在资源文件中定位到: 继续搜索resp_invalid可定位到Main->handleMessage()方法中:
看代码:
简单解释下: 这段代码是一个包含了一个匿名内部类的私有成员变量的示例。其中,该成员变量是一个Handler对象,它用来处理消息和更新UI。 覆写了handleMessage()方法,用于处理接收到的消息。在这个方法中,根据接收到的消息的 what 值进行不同的处理逻辑。 case 0:设置文本颜色为蓝色,进行除法运算并在TextView中显示结果。如果出现异常,则在TextView中显示成功响应的文本。 case 1和case 2及default:忽略,不做任何操作。 case 3:设置文本颜色为红色,并在TextView中显示无效响应的文本。 代码中还声明了一个TextView对象tv,用于更新UI显示。 而handleMessage()方法中参数 Message msg 是在onCreate()方法中onClick()方法中的run()方法调用Check.check()方法来的。
Check类中有三个方法:
accessT 11306 ( ) 和 a c c e s s _T11306() 和 access T 11306 ( ) 和 a ccess _T15566() 方法都用于解析字符串,在 check() 方法中被调用。 check() 就是验证方法。 看了下 check() 方法毫无人性可言,1300多行代码: 且涉及大量反射调用计算,想要还原工作量可不是一般的大!
尝试 hook 一下 check() 及 handleMessage() 方法:
输入123456,hook 结果:
check is called, str: 123456 check ret value is false handleMessage is called, msg: { when=-29ms what=3 target=k2015.a1.Main$1 } handleMessage ret value is undefined
看来hook并不能解决这个问题,换方法。
调试分析最难的一点就是在于:如何找到正确的调试点。 先看check函数是什么函数:public static boolean check(String str) check()函数是一个公共静态方法,该方法接受一个字符串参数str并返回一个布尔值。 那么关注点就是return所在的位置了,将apk拖入Android Killer中,在Check类中搜索return: 该类中有4处存在return,但仅有最后一处是在check方法中,双击进入: 可知需分析的就是v4的值是怎么来的了,搜索goto_0,可得: 结果蛮多,但仅需关注最后三处,前面四处并在check方法中。 第一处:
解析: 比较v4和v10的值,如果v4不等于v10,则将v4的值设置为1,然后跳转到代码末尾。 如果v4等于v10,则继续执行cond_3。
第二处:
解析: 就是第一处v4等于v10时的执行代码。
第三处:
解析: 应该为异常执行代码? ok,无论第三处是干嘛用的,综合来看我们需要分析的就是第一处的代码了:
应该就是在这与正确的flag进行比较,那么就在此处下断调试。 在调试前需注意,这个apk并没有开启debuggable权限,需要在AndroidMinifest.xml文件中添加android:debuggable="true"后进行重编译!
将Android Killer回编译好的apk安装,再用JEB打开该apk找到上面分析的cmp-long v4, v4, v10位置,ctrl+B下断后附加调试: 经过多次测试,v4一直都是一个固定值520676,而v10则会根据我们输入的值不同而产生变化。 不难发现v4应该就是算法的key,而v10是输入,需要输入一个值,这个值经过变化后需和v4相等。
观察其smail代码: 首先,const-wide/32 v4, 1000000 指令用于将常量值1000000加载到寄存器v4中。 接下来,rem-long v4, v8, v4 指令将寄存器v8的值除以寄存器v4的值,然后将余数保存到寄存器v4中。简而言之,这条指令计算 (v8 % 1000000) 并将结果保存到寄存器v4中。 然后,const-wide/32 v6, 124750 指令将常量值124750加载到寄存器v6中。 接下来,add-long/2addr v4, v6 指令将寄存器v4和v6中的值相加,并将结果保存回寄存器v4中。简单来说,这条指令计算 (v4 + 124750) 并将结果存储到寄存器v4中。 接下来, cmp-long v4, v4, v10 指令用于比较寄存器v4的值与寄存器v10的值。此指令将比较结果放在v4寄存器中。如果v4小于v10,则v4变为负数;如果v4等于v10,则v4为0;如果v4大于v10,则v4为正数。 接下来,if-nez v4, :10FC8 是一个条件跳转指令,如果寄存器v4的值不等于0(即不相等),则跳转到标签:10FC8 处执行相关代码。 标签:10E22 是跳转的目标位置,表示在此处开始执行相关代码。 然后,const/4 v4, 1 指令将常量值1加载到寄存器v4中。 最后,goto/16 :58FC 是一个无条件跳转指令,用于跳转到标签:58FC 处执行相关代码。
这里有一个关键点就是v8寄存器的值是不会变的为:31395926。 那么经过rem-long v4, v8, v4 代码后 v4的值就是个固定值395926。 经过add-long/2addr v4, v6 代码后,v4的值变为了520676 那么其简化一下:v4 + v6 == v10 ,求 v10为多少? 是否一下子豁然开朗。
结果:
这道题解法,我属于是取巧了,理论上正常应该去分析v10这个变量的生成过程,这边也给大家一个思路: 向上分析v10的来源: 第一处:v18_3为输入的值。 第二处:进行计算的位置。
第1轮计算:123457(1E241h) 123457 - 123456 = 1 第2轮计算:123462(1E246h) 123462 - 123457 = 5 第3轮计算:123471(1E24Fh) 123471 - 123462 = 9 第4轮计算:123484(1E25Ch) 123484 - 123471 = 13 第5轮计算:123501(1E26Dh) 123501 - 123484 = 17 第6轮计算:123522(1E282h) 123522 - 123501 = 21 第7轮计算:123547(1E29Bh) 123547 - 123522 = 25
观测其规律,不难得出其中差值为4的等差数列,往下分析出算法就不难啦,这里就交给大家了,百看不如一战,多实战才能多积累出属于自己的东西。
private Handler handler
=
new Handler(Looper.myLooper()) {
/
/
from
class
: k2015.a1.Main.
1
@Override
/
/
android.os.Handler
public void handleMessage(Message msg) {
Main.this.btn.setEnabled(true);
switch (msg.what) {
case
0
:
Main.this.tv.setTextColor(
-
16776961
);
try
{
Main.this.tv.setText(
103
/
msg.what);
return
;
} catch (Exception e) {
Main.this.tv.setText(R.string.resp_success);
return
;
}
case
1
:
case
2
:
default:
return
;
case
3
:
Main.this.tv.setTextColor(
-
65536
);
Main.this.tv.setText(R.string.resp_invalid);
return
;
}
}
};
TextView tv;
private Handler handler
=
new Handler(Looper.myLooper()) {
/
/
from
class
: k2015.a1.Main.
1
@Override
/
/
android.os.Handler
public void handleMessage(Message msg) {
Main.this.btn.setEnabled(true);
switch (msg.what) {
case
0
:
Main.this.tv.setTextColor(
-
16776961
);
try
{
Main.this.tv.setText(
103
/
msg.what);
return
;
} catch (Exception e) {
Main.this.tv.setText(R.string.resp_success);
return
;
}
case
1
:
case
2
:
default:
return
;
case
3
:
Main.this.tv.setTextColor(
-
65536
);
Main.this.tv.setText(R.string.resp_invalid);
return
;
}
}
};
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2023-7-17 17:18
被行简编辑
,原因: