无壳32位

首先在TLS函数发现修改了一个RC4的密钥，稍微审计可知，同时在main函数可知我们的输入是37位，所以这边初始化的74位其实就是存放了我们的输入37位和密文37位，整理下可知

来到主函数并不是很长，不过是道VM题，而这题比较特殊是 与非 VM，也就是说所有的操作都是靠

op[p2] = ~(op[p0] & op[p1]);

这条语句进行运行

那么稍微审计可知比较重要的几点

那么既然是VM题，先打印出所有的opcode看看效果， 那么这里有两个方法

第一种 利用条件断点

在字节码在加密回去前的地方下个断点，把其语句打印出来

但由于前面还有个input有很多语句，我们只需要关心我们输入后程序进行了什么操作所以在判断输入长度也下个条件断点

测试输入 123456781234567812345678123456781234~

随后让程序跑起来直接输入即可跑出opcode，不难发现我们的输入49 50 51 52都被引用到，第一个密文36也被引用到随后程序就跑出wrong，同时也可以知道op[2772]就是存放我们输入的起始位置了

第二种 ctrl cv

还有种方便的方法就是直接复制ida的代码即可，在我们需要输出的地方直接打印即可，其中注意下导入 defs.h 的ida库

那么再经过稍微的调试与审计，不难发现我们的每段比较密文都是这种形式

随后直接Z3即可，当然看了云之君师傅博客直接逆也可以

无壳64位

首先点入main函数是会得到一个fake flag，不过也已经经过RC4异或了一次我们的输入，随后出题人在_fini_array还有起个函数，也就是本题的关键了

那么先普及点前置知识

fork函数的返回值

pipe管道

那么简单来说就是写的时候关读端fd[0]，起写端fd[1]，另一端反之

该函数为程序退出后要执行的函数，

总结下该函数所执行的操作

再总结下Child函数

那么稍微屡屡就知道我们的key到底做了什么修改

那么得到key了之后这题也就没有什么难点了

还有个神奇的方法，我一直没意识到，赛后问了P1umH0师傅，其实直接attach上就能拿到key了

按理来说在这下断点是应该断的住的，毕竟我们的输入与key的修改没有任何关系，而我每次跑到这就自动退了，而且key也没成功修改，属于是玄学问题

那么这题也可以用Z3直接做了，跟着程序写完所有加密直接就可以出

无壳64位

那么本题为抽象的pyd逆向，第一个文件是没有符号的，第二个文件是有符号的，出题人也就是想让我们用Bindiff来合并一下，于是可以直接恢复第一个文件的符号方便逆向

于是直接搜索check向上引用不难发现 _pyx_pf_14d3recover_ver2_2check 就是我们的加密函数

那么通过调试与化简可得以下逻辑

那么调试拿到enc直接用Z3就出了

无壳64位

这题VM也比较特别，是利用内核模块动态修改了系统调用实现的VM，这题由syscall所进行的VM进行过程

64位下的syscall是通过不同的rax的值进行不同的系统调用

简单来说这题就是注册了几个自己的操作，不同操作由不同的eax代表，随后syscall到相应操作进行VM操作

那么出题人师傅在官解里解释的很详细了

https://github.com/4nsw3r123/d3syscall

有了这个概念，那么现在从逆向的角度去看待这题

首先我们可以在这个区域看到运行于主函数之前的函数

随后直接调试可以看到在tmp目录起了个my_module，随后去 kallsyms(符号表，它包含了内核中所有的符号信息) 获取sys_call_table(系统调用表) ，随后将sys_call_module传入my_module

那么在看my_module前先看下main函数

进到该函数可以发现清一色的syscall

那么至此我们了解了主程序在 init 起了个 my_module 注册了自己的系统调用，随后程序syscall到自己注册的系统调用进行加密，那么事情就很简单了，只要我们搞懂每次的调用所对应的操作就能解出本题

该文件直接动调取出，IDA打开看到 init_module 函数，主要就是解析这几个函数，也就是syscall所对应的操作

拿 mov 举例

写出对应的代码

那么到这一步，我们只需要逐个翻译每个 rax 所对应的操作，再从主程序取得所有参数就能将程序所有的操作打印出来

那么出题人还提供了个很方便的思路就是 strace 可以打印出所有的syscall，这样可以快速拿到所有参数

那么翻译出整个流程直接通过Z3或者逆向直接解密即可

无壳

拿到一个 apk 与一个流量包，打开流量包不难，数据不多，根据数据不难判断是个 Protocol 包

解包得到数据

Java层进行了混淆，很难看，于是想到有流量包那也许可以通过 ip 搜到关键函数，发现只有一条

不难判断这就是程序关键点

翻阅那长长的一条可以发现一个混淆的 native 函数

第一个函数是类构造时候就会调用，第二个应该是分数到了 900000 会调用的函数。

于是来到 so 层看这两个函数的源码，不过代码不好看，到处翻阅不难发现 oO0OooOo0oO 该函数中有 AES 加密与 RC4 加密，那么具体加密什么数据与密钥我们直接开始动调。

调试机开启

转发默认端口并以调试模式开启该 apk

随后 ida 设置

这里是为了加载每个 so 的时候断一下以防跑飞

随后直接 attach 上该进程，随后按下 F9，再 JDWP 继续运行该程序（这里设置的是进程 PID）

安卓调试原理可参考

https://bbs.kanxue.com/thread-266378.htm#msg_header_h1_0

随后 IDA 调试可以发现会闪退，原因是有有个检测，而这个检测就在 init_array 段的第一个函数，所以我们去 init_array 段先下个断点，ctrl + s 来到该段，点入再进入第一个函数第一行汇编下断点。

按几下 F9 即可跑到我们下断点（中间可能会问你 same or not same，直接 same 即可），而开启反调试的代码就在我们当前函数的最后一句。

而我们只需要不启动这个线程即可，在这里直接 ctrl + n 到 xxxx8E84 或修改 eip 即可。

随后在旁边的 modules 里搜索该模块找到我们要分析的函数在开头下个断点，再按几下 F9 即可

稍许调试就可以找到第一处关键点，就是我们这题的目标找到 boot_id，这里就是取出自己手机的 boot_id

随后继续调试可以发现对我们的 bootid 进行了 AES 加密，其实 key 是固定的，而 iv 是根据 ANDROID_ID，再然后就是 RC4 加密，密钥直接调试就可以拿到了。

那么分析到这就可以整理一下目前的信息

也可以通过 hook + 抓包的方式来对比流量包里的数据，同样可以确定流量包里的有我们要的密文与 iv。

那么另一种获取的方法就是通过 Frida，通过刚刚的调试可以发现 init_array 的第一个函数就是反调试反检测函数，那么我们只需要在程序启动的时候 hook 绕过该检测函数，再去 hook 我们目标函数获取参数即可。

可参考：DetectFrida/app/src/main/c/native-lib.c at master · darvincisec/DetectFrida · GitHub

Hook init_array 需要知道在 so 文件的加载过程，系统会自动调用 init、init_array 和 JNI_OnLoad 函数，其中 init 和 init_array 是在 dlopen 函数执行过程中调用， JNI_Onload 是在 dlopen 函数执行之后调用的，但我们想 Hook init，只 Hook dlopen 是做不到的，在 dlopen 的 onEnter 函数中， so 文件还没加载，无法 Hook init，在 onLeave 函数时，init 又加载完毕。

所以想要 Hook init 或是 init_array，需要在 dlopen 函数内部找一个 Hook 点，该函数必须满足两点

于是 linker 中的 call_constructors 满足这些需求，该函数用于调用 so 文件中的 init 和 init_array，并且该函数在 linker 的符号表中，不需要通过偏移来计算函数地址。

于是在 linker 中找到该函数地址后，直接把我们想 hook 的函数写上即可。

完整代码

那么所需的数据都有了，就可以解密了，根据密钥长度与 AES 主函数可以确定是 AES-256 CBC，而该 AES 修改了一些地方

拿别的师傅整理好的，这是所有修改的地方

ASE模板：https://github.com/kokke/tiny-AES-c

ase.h 文件修改成 AES256

main.c

Get Flag!

官方题解搜Q群：532023069

http://lu1u.bxsteam.tk/2023/05/02/d3ctf-re/#d3Hell

https://mp.weixin.qq.com/s?__biz=Mzg4MjcxMTAwMQ==&mid=2247486967&idx=1&sn=ad55ddd11c6bfa17843270625f5f92fc&chksm=cf53cd41f8244457c2db68626c91f2e4564d756b903222f3a913e89f211d475418864c5041bc&mpshare=1&scene=23&srcid=0501bEUrW8ydbpm175TL5FFn&sharer_sharetime=1682949687637&sharer_shareid=6eea79ff6da57fc6752ab0bc570bf392#rd

https://fq6p9pyo5tt.feishu.cn/docx/InUFdQUKdozf8yx5IhGcf5zInSe

视频版：
https://www.bilibili.com/video/BV13P41117B6/?spm_id_from=333.999.0.0
https://www.bilibili.com/video/BV1Mh41157fr/?spm_id_from=333.999.0.0

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

• D3CTF2023.zip （5.09MB，11次下载）