-
-
[原创]使用Unidbg在CTF-Android题目的快速解题
-
发表于: 2023-10-19 21:41
-
遇到了一道android题目,最近学了Unidbg。那么就开始掏出Unidbg,皮又痒痒了,想跳跳啦,看看能不能一把嗦
做完这题,发现成了Unidbg的铁杆粉丝,真的是很方便,我再也不用辛辛苦苦动态分析so啦
题目会打包上传,完整Unidbg脚本也会放在后面,本文的重点在于使用Unidbg的分析so能力,关于Unidbg的安装可以自行搜索。
创建一个项目框架
Java层分析
使用aapt获得对应的启动Activity
1 |
aapt dump badging apk名字 |
开始分析代码
可以看到,重点是分析so的j和p方法
so分析
有两个so文件,先看app使用的libj.so
分析 libj.so
搜索JNI_onload,说明是静态注册函数
j方法
先分析 j 方法,发现没有参数,尝试使用Unidbg跑一遍(完整脚本在后面,这里不占用文章内容了)
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
|
int __fastcall Java_an_droid_j_MainActivity_j(JNIEnv *a1)
{ int i; // r1
int v2; // r0
int v3; // r0
char v5[32]; // [sp-40h] [bp-70h] BYREF
_BYTE v6[36]; // [sp-20h] [bp-50h] BYREF
JNIEnv *v7; // [sp+4h] [bp-2Ch]
int *v8; // [sp+8h] [bp-28h]
int v9; // [sp+Ch] [bp-24h]
int v10; // [sp+10h] [bp-20h]
_BYTE *v11; // [sp+14h] [bp-1Ch]
int v12; // [sp+1Ch] [bp-14h] BYREF
v8 = &v12;
v7 = a1;
for ( i = -1178200092; ; i = 52119689 )
{
do
{
v3 = i;
i = 1445388760;
}
while ( v3 == -1178200092 );
if ( v3 == 52119689 )
break;
v11 = v6;
strcpy(v5, "FlagLostHelpMeGetItBack");
v10 = 30;
v9 = 97;
v5[29] = 0;
*(_WORD *)&v5[27] = 0;
v5[24] = 0;
*(_WORD *)&v5[25] = 0;
v5[30] = 80;
qmemcpy(v6, v5, 0x1Eu);
v2 = (int)(*v7)->NewStringUTF(v7, v6);
*v8 = v2;
}
return *v8;
} |
|
1
2
3
4
5
6
|
public String func_j(){
DvmClass dvmClass=vm.resolveClass("an.droid.j.MainActivity");
DvmObject object = dvmClass.newObject(null);
DvmObject object1 = object.callJniMethodObject(emulator, "j()Ljava/lang/String;");
return object1.getValue().toString();
} |
就说这个函数其实并没有什么用,总是返回固定值!
p方法
使用插件来进行恢复即可(详细使用开看Obpo文档)
耐心等待
|
|
|---|---|
|
|
|
|
|
|
|
|
现在好像不能用了,ollvm现在自己写脚本也可以快速去除的 |
