-
-
[原创]flutter逆向 ACTF native app
-
发表于: 2023-10-31 20:01
-
算了一下好长时间没打过CTF了,前两天看到ACTF逆向有道flutter逆向题就过来玩玩啦,花了一个下午做完了.说来也巧,我给DASCTF十月赛出的逆向题其中一道也是flutter,不过那题我难度降的相当之低啦,不知道有多少人做出来了呢~
flutter逆向的一大难点就是不知道libapp.so的函数名,虽然有工具reflutter可以帮助我们得到其中的符号,但是我个人认为基于对libflutter.so源码插桩后重编译再重打包apk的方式具有极大的不可预料性,极有可能导致apk闪退,这一题便出现了这种情况,所以接下来我将介绍的工具blutter是纯静态分析来还原函数名,更令人惊喜的是它提供了IDApython脚本来让我们可以在IDA中对函数进行重命名,而这个项目中提供的其他文件也相当好用
blutter项目地址
在各个平台如何编译在这个项目的README.md中写的已经相当详细了,这里我就简单介绍一下Windows上的编译过程吧,注意一下这些命令需要全程运行在代理环境否则会导致无法下载
首先clone项目
随后运行初始化脚本
请注意,接下来我们需要打开x64 Native Tools Command Prompt,它可以在Visual Studio文件夹中找到
然后运行blutter.py并提供libapp.so和libflutter.so的文件夹路径以及输出文件夹路径
输出文件夹目录如下
随后我们用ida反编译libapp.so,并运行输出文件夹中的IDApython脚本ida_script/addNames.py,符号就被全部恢复出来啦
这里我们需要关注的函数是flutter_application_1_main__LongPressDemoState::_onTap,因为在flutter的开发中,onTap函数是按钮点击之后的响应函数
随后我们进入sub_1DE500,在该函数中双击sub_1DE59C进入
在这个函数中我们发现了256,%,^这些特征,合理猜测一下算法可能是RC4
接下来我们使用输出文件夹中的blutter_frida.jshook一下sub_1DE59C看看情况
这里我们只hook到一个数组的值,另一个数组的类型是TypeArguments,研究了一下blutter_frida.js后发现作者还没有对这种数据类型格式提供hook支持
现在我们得到了一个数组,我们就暂时认为它就是flag经过加密之后得到的结果,接下来我们在IDA中对sub_1DE59C下断点动态调试来更加深入的研究一下
首先我们需要将IDA文件夹中的dbgsrv/android_server64 push到手机上面,然后运行一下并且指定端口
随后端口转发一下
在IDA中选择调试器为Android debugger
随后点击Debugger->Debugger options...选择如下配置
点击Debugger->Process options...,Hostname修改为127.0.0.1,Port修改为11112
然后点击Debugger->Attach to process...,附加到我们目标包名的进程上面
弹出该弹窗选择Same即可
在手机上点击按钮,然后在IDA中点击这个绿色的剪头,就可以动态调试啦
在动态调试之后,未知的变量也逐渐浮现了出来,这里我们发现了v28>=256,那么很有可能就是RC4了哦
既然这样,那么直接在这里唯一的异或的地方用IDA去trace一下,把异或的数组dump下来不就行了:)
于是我们得到了被异或的数组了
但是在异或运算的地方下断点之后,我输入的数全都是1,这里被异或的数也全是0xce
所以莫非不是RC4?让0xce和0x31异或一下看看,竟然是0xff这么有意义的数字
所以exp也就能写出来啦~
https://github.com/worawit/blutter
https://github.com/worawit/blutter
git clone https://github.com/worawit/blutter --depth=1
git clone https://github.com/worawit/blutter --depth=1
cd .\blutter\
python .\scripts\init_env_win.pycd .\blutter\
python .\scripts\init_env_win.pypython .\blutter.py ..\chall\lib\arm64-v8a\ .\outputpython .\blutter.py ..\chall\lib\arm64-v8a\ .\outputPS D:\hgame\ACTF\native app\work\blutter> frida -U -f "com.example.flutter_application_1" -l .\output\blutter_frida.js
[Pixel 3::com.example.flutter_application_1 ]-> Unhandle class id: 46, TypeArguments
GrowableList@6d00488c29 = [ 188676,
0,
{
"key": "Unhandle class id: 46, TypeArguments"
},
34,
{
"key": [
184,
132,
137,
215,
146,
65,
86,
157,
123,
100,
179,
131,
112,
170,
97,
210,
163,
179,
17,
171,
245,
30,
194,
144,
37,
41,
235,
121,
146,
210,
174,
92,
204,
22
]
},
0,
0,
0
]PS D:\hgame\ACTF\native app\work\blutter> frida -U -f "com.example.flutter_application_1" -l .\output\blutter_frida.js
[Pixel 3::com.example.flutter_application_1 ]-> Unhandle class id: 46, TypeArguments
GrowableList@6d00488c29 = [ 188676,
0,
{
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
先在输入框中输入字符串之后再点按钮,然后到IDA中点击绿色的箭头来动态调试,要是在IDA运行的时候弹出小键盘的话会有概率导致无法运行的 |
|
|
楼主,现在flutter app的抓包有什么工具么,最近遇到的几个只要一抓包就直接掉登录,之前的hook方法不起效果,wireshark抓包走的是https  ,直接尬住了
|
|
|
1、作者源码中只有这两种架构:EM_AARCH64、EM_IA_64,而我的so文件是em_arm架构,走到这里就报错了。
2、修改了一下问题一里的架构判断,先绕了过去,后边又出现了报错,经过调试发现:executable为None,导致系统找不到要启动的进程
希望能够得到帮助。。。 |
|
|
|
|
|
即使调试自己的app,不涉及输入,断下分析一段时间后也会无法恢复,不知道怎么回事. |
|
|
hookssl无效么? |
|
|
不是一定要走ssl的,而且那个方法都出来多久了,老早不管用了 |
|
|
可否分享下app研究下? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
看了一下应该是别的师傅参考这里的文章复现了ACTF的这题,说明我写的内容还是有意义的:) |
|
|
|
|
|
|
|
|
你需要点一下这个勾号确认文本框的提交 ,
点击提交之后在"submitted:"后面出现你输入的字符串才算是正确的把输入给输进去了,不然你的输入就是空字符串 |
|
|
|
|
|
|
|
|
这是什么问题? |
这个月比较忙,下个月初我把域名重新买回来
