查看原文
其他

Android逆向----某CTF题

与时尽现。 看雪学院 2019-09-18
静态分析


将目标文件,安装至夜神模拟器,打开后界面如图:

 

 

应该是某年的ctf大赛题。

 

随便输入序列号,弹出如下错误提示:

 

 

用AK打开,搜索字符串 “错误”,发现并没有找到。

 

 

转换为Unicode ,搜索可以找到字符串,得知改字符串,在a.smail文件中调用。

 

 

反编译对应的java文件,我们发现,影响程序执行流程的函数为

 

check()

 

如下图:

 

 

继续搜索check()函数,可以发现在M.smail文件中定义

 

 

同理转到M.smail对应java文件,发现check函数的实现为以下代码:


public void check(String paramString)
{
int i = 0;
if (paramString.length() != 16) {
throw new RuntimeException();
}
try
{
str1 = getKey();
arrayOfInt = new int[16];
arrayOfInt[0] = 0;
arrayOfInt[12] = 14;
arrayOfInt[10] = 7;
arrayOfInt[14] = 15;
arrayOfInt[15] = 42;
arrayOfInt[1] = 3;
arrayOfInt[5] = 5;
}
catch (Exception localException1)
{
try
{
String str1;
System.out.println();
arrayOfInt[6] = 15;
arrayOfInt[2] = 13;
arrayOfInt[3] = 19;
arrayOfInt[11] = 68;
arrayOfInt[4] = 85;
arrayOfInt[13] = 5;
arrayOfInt[9] = 7;
arrayOfInt[7] = 78;
arrayOfInt[8] = 22;
if (i < paramString.length()) {
if ((arrayOfInt[i] & 0xFF) != ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF))
{
throw new RuntimeException();
localException1 = localException1;
String str2 = getKey();
System.arraycopy(str2, 0, paramString, 5, 5);
}
}
}
catch (Exception localException2)
{
for (;;)
{
int[] arrayOfInt;
arrayOfInt[5] = 37;
arrayOfInt[1] = 85;
continue;
i += 1;
}
}
}
}

我们现在对这个函数进行分析。

 

首先第一个判断为:


if (paramString.length() != 16) {
throw new RuntimeException();
}
//如果输入的字符串长度不是16,那么直接抛出一个异常, 我并不是很懂java

//我用IDEA新建一个工程,将该函数原型定义并调用该函数,发现如果长度不为16将直接退出


原以为程序都完try块,没有产生异常,是会走final或者继续往下走,可是单单给前边几个初始化,并不能完成16个字节的校验,而且下面只进行了一次判断就退出,难道不应该是循环吗?

 



动态分析



为了证明我的猜想,我进行了动态调试,发现程序确实走到了catch块

 

 

那么,我们继续往下分析,第二个判断


if (i < paramString.length()) {
if ((arrayOfInt[i] & 0xFF) != ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF))//如果这里不相等,那么又将抛出异常
{
throw new RuntimeException();
localException1 = localException1;
String str2 = getKey();
System.arraycopy(str2, 0, paramString, 5, 5);
}
}
}


相比于OD的动态调试来说,这个还是很简单的,因为Android Studio 界面太大,切图太占地方,我将注释写在了每一行的smali代码上面。

 

对应的smali为:(详细分析已注释)


通过上述代码,我们可以得知

 

:goto_2
invoke-virtual {p1}, Ljava/lang/String;->length()I

//v3=16
move-result v3
//v1=i
if-ge v1, v3, :cond_2

//v2是之前填充的那个数组,不懂smail,应该是从数组v2中取出下标为v1的值给上v3
aget v3, v2, v1

//v3和0xff进行与操作
and-int/lit16 v3, v3, 0xff

//p1是我们输入的字符串,v1下标,
invoke-virtual {p1, v1}, Ljava/lang/String;->charAt(I)C

//把上边取出的数据给上v4=array[i]
move-result v4

//v0为 字符串 "bobdylan"
invoke-virtual {v0}, Ljava/lang/String;->length()I

//取出值给v5,v5=8("bobdylan"的长度)
move-result v5

//v5=i%8
rem-int v5, v1, v5

invoke-virtual {v0, v5}, Ljava/lang/String;->charAt(I)C

//取出字符串数组 v0下标为 i%8 的值
move-result v5

// v4=array[i]和 v0[i%8] 进行异或
xor-int/2addr v4, v5

//和0xff进行and操作
and-int/lit16 v4, v4, 0xff

//如果相等,调到cond_1 (该处为 i++后,跳转到goto2:),确实是一个循环
if-eq v3, v4, :cond_1

new-instance v0, Ljava/lang/RuntimeException;

invoke-direct {v0}, Ljava/lang/RuntimeException;-><init>()V

throw v0


要想让代码正确,我们需要让下列条件满足:


(arrayOfInt[i] & 0xFF) == ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF)


我们先提取arrayOfInt数组,提取后的值为(C语言):


int nNum[] = { 00, 03, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42 };


str1,也就是密码表为

char cCode[] = "bobdylan";


整体逻辑 可以表述为以下C代码:


int nNum[] = { 00, 03, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42 };

char cCode[] = "bobdylan";

for (int i = 0; i < 16;i++)
{
//nNum[i]^

int nIndex = i % 8;

int nTmp = cCode[nIndex];

printf("%c", nNum[i] ^ nTmp);

}


打印结果为:blow,in the winD

 

 

尝试一波:

 

 

bingo!



- End -




看雪ID:与时尽现。 

https://bbs.pediy.com/user-830989.htm  



本文由看雪论坛 与时尽现。  原创

转载请注明来自看雪社区




⚠️ 注意



2019 看雪安全开发者峰会门票正在热售中!

长按识别下方二维码即可享受 2.5折 优惠!





往期热门回顾

1、实践中学习CVE-2016-5195

2、极光行动----漏洞分析

3、【Part II】 CVE-2018-8897 原理深度漫游、漏洞利用、调试实战

4、【Part I】CVE-2018-8897 原理深度漫游、漏洞利用、调试实战







公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com




↙点击下方“阅读原文”,查看更多干货

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存