本文主要是介绍学习练手——wmctf2020-reverse-easy_apk,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
- 一 环境
- 二.分析过程
- 2.1 JAVA层
- 2.2 SO层
- 2.2.1 init_array段
- 2.2.2 .init段
- 2.2.3 算法分析
- 三 结果
一 环境
手机:Pixel 1
系统:Android 8.1
软件:IDA 7.5、JADX
难度:中等
apk资源(0积分下载)
https://download.csdn.net/download/WuYu_AS/20450561
二.分析过程
在ROOT过的手机中打开APP,会发现App会崩溃,只有在非ROOT手机中打开,才会正常显示,很明显APP对手机的环境有检测。
2.1 JAVA层
1 将APK放入JADX中,从最开始的onCreate中就发现了检测。那么就有很多中方法绕过:(1)直接通过AndroidKiller修改,然后重新打包;(2)通过HOOK的方法直接修改对应方法的返回值。本文直接采用了1方法,修改APK来进行绕过
2 从 this.b.setOnClickListener()找到点击事件和关键的方法check,发现check是native方法。
3.将修改之后的APK,进行重新安装之后,发现还是和原来一样,那么说明还有检测,只能实在SO层。
2.2 SO层
2.2.1 init_array段
(1) 创建进程失败的话就退出APP
(2)那么重点查看下sub_E588
(2)但是上面的检测都没有效果,APP还是无法正常启动,无法进入JNI_OnLoad,那么说明SO中还有检测
2.2.2 .init段
在导出表中存在.init_proc这个函数名字
(1)ROOT检测
(2)在指定的目录下查找有没有xposed文件名的文件,可以通过IDA动态调试确认
(3)绕过方法:1.通过HOOK的方法,对sub_D994 传入的PID进行修改;2.通过IDA直接修改SO,进入sub_D994直接返回或者nop掉函数中的内容等。本文是通过第二种方法,将修改之后的SO,替换AndroidKiller中APK工程的SO,然后重新打包,进行安装就能正常打开
2.2.3 算法分析
3.1 确定JAVA层check方法对应的SO层中的位置。
(1)通过IDA加载jni.h文件,导入符号信息
(2)打开导出表搜索JNI_OnLoad
(3)通过JNI_OnLoad中有明显的RegisterNatives,点击查看第三个参数methods,methods是一个数组,每项中的1:JAVA层方法名字符串的指针,2:JAVA层方法参数和返回值类型字符串的指针,3.对应native层函数的地址。所以就确定了在SO层的位置
3.2 分析
1.修改sub_10F00中变量的类型和名字,名字可以按照自己习惯的取
2.将和传入变量赋值有关的也取名
3.简单分析下 sub_10F00 的第三个变量值都参与了那些函数的运算,发现只有一处sub_10D24,参与了运算
;
4.根据结果是需要1,查看下sub_10F00 返回值哪里会有1,最后发现sub_DB8C函数返回值为0,那么最后sub_10F00 返回值就是1
;
5.查看sub_DB8C 发现是简单的字符比较,将参数1和参数2,进行比较,相等返回就是0,那么参数1或者参数2中,肯定一个是flag加密后的内容 一个是自己输入后的内容,而且根据参数3是32,说明长度就是32
6.简单查看下sub_DB8C 的第一个参数是unk_296C0 赋值过来的,加上又是32个字节,就大概猜测是下图的内容就是key。
7.简单查看下sub_DB8C 的第二个参数是 大概率就是输入的内容加密后,另外还参加了sub_10D24。
8.sub_DB8C函数的参数 大概的意义已经猜测的差不多,那么sub_10D24函数的也只剩下头两个参数,不过很明显sub_10D24 第一个参数是一个常量数组
9.sub_10D24 第二个参数从静态很明显是sub_E074的传出值,因为v17没有参加计算,另外key只有参加了sub_E074计算,明显也是sub_E074函数的传出变量。
10.sub_E074 的参数2: v17,从初始化开始只有sub_E260 是对v17进行赋值的地方。
11.通过动态调试或者HOOK的手段,确定之前分析的地方是不是正确的。IDA动态调试的过程就是贴图了。(如果上面那些步骤都可以边分析,边动态调试确认)
12.通过动态调试,确认了 sub_10D24 参数2 是固定的传入值,参数7 就是输入的flag, 参数8 就是输出加密后的内容,那么继续查看sub_10D24 内部是如何对输入的flag,进行加密的
13.对参数进行重命名之后(result 就是输出变量),查看到对 result 赋值的地方有两处,通过动态调试之后,确定是第二个do…while。
14.加密的方法明显是异或,而且是将输入的flag 每128个位和 v16 每128个位进行抑或,通过IDA动态调试获取v32,content_char_1_0_128 和它们异或之后的结果,进行比较之后实际上是 v16和content_char 数组 从0开始分别取值进行异或。
15.另外通过动态调试确定v16是固定的值,那么根据sub_DB8C 函数的参数1,也就是正确的flag加密后的数组,通过和v16进行异或,就能拿到正确的flag。
int[]eor_flag={0x2B,0x31,0xA9,0x7F,0x7A,0x85,0x71,0xED,0x06,0x83,0x72,0xDB,0x52,0xC5,0xC9,0xCD,0xC2,0x2A,0x66,0xF0,0x46,0xAF,0x9A,0x5F,0xA6,0x5F,0x63,0xB2,0x3B,0x2E,0x8B,0xCA};
//这里的key也就是v16
int[]v16={0x7C,0x2,0xC5,0x1C,0x15,0xE8,0x14,0xB9,0x36,0xD4,0x3F,0x98,0x6,0x83,0xE8,0x92,0xE8,0x6C,0x13,0xC2,0x18,0xF0,0xDB,0x31,0xF2,0x6E,0x3C,0x81,0x9,0x6B,0xB8,0xEE};
byte[]result=new byte[v16.length];
for (int i = 0; i < eor_flag.length; i++) {result[i]= (byte) (v16[i]^eor_flag[i]);
}
System.out.println(new String(result));
16.但是输出内容是乱码的,所以是错误的,说明v16的数组有问题,v16是sub_10AC0 函数获取出来的,sub_10AC0 参数3是固定的8,那么说明和参数1有关,sub_10AC0 参数1又是sub_10874 函数的传出参数,sub_10874的参数中参数3也是固定的,那么和sub_10874参数2有关。也就是sub_10D24传入的参数2(备注sub_10874和sub_10AC0内部都是纯算法)
17.sub_10D24 的参数2 key 是sub_E074 传出的,那么查看sub_E074的函数。发现内部有读取文件,通过IDA发现是读取了tracepid的值,并对传出的参数进行了修改,那么就通过IDA动态调试的时候将 atoi(v24);的返回值设置为0.
18.重新动态调试到sub_10D24函数中的 异或的部分获取v16 保存的数组就是
int[]v16={0x7C,0x2,0xC5,0x1C,0x15,0xE8,0x14,0xB9,0x36,0xD4,0x3F,0x98,0x6,0x83,0xE8,0x92,0xE8,0x6C,0x13,0xC2,0x18,0xF0,0xDB,0x31,0xF2,0x6E,0x3C,0x81,0x9,0x6B,0xB8,0xEE};
19.将重新获取v16,填入到第15步写的算法之后,就会计算出真正flag=W3lcomeT0WMCTF!_*Fu2^_AnT1_32E3$
int[]eor_flag={0x2B,0x31,0xA9,0x7F,0x7A,0x85,0x71,0xED,0x06,0x83,0x72,0xDB,0x52,0xC5,0xC9,0xCD,0xC2,0x2A,0x66,0xF0,0x46,0xAF,0x9A,0x5F,0xA6,0x5F,0x63,0xB2,0x3B,0x2E,0x8B,0xCA};
//这里的key也就是v16
int[]v16={0x7C,0x2,0xC5,0x1C,0x15,0xE8,0x14,0xB9,0x36,0xD4,0x3F,0x98,0x6,0x83,0xE8,0x92,0xE8,0x6C,0x13,0xC2,0x18,0xF0,0xDB,0x31,0xF2,0x6E,0x3C,0x81,0x9,0x6B,0xB8,0xEE};
byte[]result=new byte[v16.length];
for (int i = 0; i < eor_flag.length; i++) {result[i]= (byte) (v16[i]^eor_flag[i]);
}
System.out.println(new String(result));
三 结果
将原APK装到一个没有root的手机中,输入获取到的fflag=W3lcomeT0WMCTF!_*Fu2^_AnT1_32E3$ 就能成功
这篇关于学习练手——wmctf2020-reverse-easy_apk的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
