前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >【愚公系列】2021年12月 攻防世界-简单题-MOBILE-003(app2)

【愚公系列】2021年12月 攻防世界-简单题-MOBILE-003(app2)

作者头像
愚公搬代码
发布2021-12-12 10:15:00
2800
发布2021-12-12 10:15:00
举报
文章被收录于专栏:历史专栏历史专栏

文章目录

一、app2

题目链接:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1

二、答题步骤

1.运行app

点击登录得到:不能为空的提示

2.jadx反编译apk文件

搜索不能为空字符串

在这里插入图片描述
在这里插入图片描述

找到MainActivity函数

代码语言:javascript
复制
package com.tencent.testvuln;

import android.annotation.SuppressLint;
import android.app.Activity;
import android.content.Intent;
import android.content.SharedPreferences;
import android.os.Bundle;
import android.os.Handler;
import android.util.Log;
import android.view.Menu;
import android.view.MenuItem;
import android.view.View;
import android.widget.Button;
import android.widget.EditText;
import android.widget.Toast;
import com.tencent.testvuln.c.SignatureTool;

@SuppressLint({"ShowToast"})
/* loaded from: classes.dex */
public class MainActivity extends Activity implements View.OnClickListener {
    private Button a;
    private Handler b = null;
    private EditText c;
    private EditText d;

    @Override // android.app.Activity
    protected void onCreate(Bundle bundle) {
        super.onCreate(bundle);
        setContentView(R.layout.activity_main);
        this.a = (Button) findViewById(R.id.button1);
        this.a.setOnClickListener(this);
        this.c = (EditText) findViewById(R.id.editText1);
        this.d = (EditText) findViewById(R.id.editText2);
        SharedPreferences.Editor edit = getSharedPreferences("test", 0).edit();
        edit.putLong("ili", System.currentTimeMillis());
        edit.commit();
        Log.d("hashcode", SignatureTool.getSignature(this) + "");
    }

    @Override // android.app.Activity
    public boolean onCreateOptionsMenu(Menu menu) {
        getMenuInflater().inflate(R.menu.main, menu);
        return true;
    }

    @Override // android.app.Activity
    public boolean onOptionsItemSelected(MenuItem menuItem) {
        if (menuItem.getItemId() == R.id.action_settings) {
            return true;
        }
        return super.onOptionsItemSelected(menuItem);
    }

    @Override // android.view.View.OnClickListener
    public void onClick(View view) {
        switch (view.getId()) {
            case R.id.button1:
                if (this.c.getText().length() == 0 || this.d.getText().length() == 0) {
                    Toast.makeText(this, "不能为空", 1).show();
                    return;
                }
                String obj = this.c.getText().toString();
                String obj2 = this.d.getText().toString();
                Log.e("test", obj + " test2 = " + obj2);
                Intent intent = new Intent(this, SecondActivity.class);
                intent.putExtra("ili", obj);
                intent.putExtra("lil", obj2);
                startActivity(intent);
                return;
            default:
                return;
        }
    }
}

进而保存为ili,lil传入给了SecondActivity,双击进入

在这里插入图片描述
在这里插入图片描述

发现

在这里插入图片描述
在这里插入图片描述

因为doRawData为navtive函数,所以打开IDA

3.IDA修改apk逻辑实现破解

先发现有趣的函数,AES,Base64预估用到了AES加密算法

在这里插入图片描述
在这里插入图片描述

搜索doRawData只有一个结果,双击跳过去,F5转伪代码,大概看一下

代码语言:javascript
复制
jstring __fastcall doRawData(_JNIEnv *env, int jclass, int context, int string)
{
  _JNIEnv *env_1; // r4
  void *string_1; // r9
  const char *v6; // r6
  const char *v7; // r8
  jstring result; // r0
  jstring (__cdecl *v9)(JNIEnv *, const jchar *, jsize); // r6
  char *v10; // r5
  size_t v11; // r2
  int v12; // [sp+0h] [bp-28h]
  int v13; // [sp+18h] [bp-10h]
 
  env_1 = env;                                  // 如果不相等直接返回
  string_1 = string;
  if ( j_checkSignature(env, jclass, context) != 1
    || (strcpy(&v12, "thisisatestkey=="),
        v6 = env_1->functions->GetStringUTFChars(&env_1->functions, string_1, 0),
        v7 = j_AES_128_ECB_PKCS5Padding_Encrypt(),
        env_1->functions->ReleaseStringUTFChars(&env_1->functions, string_1, v6),
        result = env_1->functions->NewStringUTF(&env_1->functions, v7),
        _stack_chk_guard != v13) )              // 1.进行签名验证2.将输入字符串与加密后字符比较(这里的key是thisisatestkey==)
  {                                             // j_AES_128_ECB_PKCS5Padding_Encrypt这里出题人估计是故意降低难度的吧
    do
    {
      v9 = env_1->functions->NewString;
      v10 = UNSIGNATURE[0];
      v11 = strlen(UNSIGNATURE[0]);
    }
    while ( _stack_chk_guard != v13 );
    result = (v9)(env_1, v10, v11);
  }
  return result;
}

分析,可以发现,应该是对我们传入的数据做了AES加密。

v4应该是我们传入的值,v10则是秘钥。可以看到v14-v10这里组成了个数组。我们将其取出。秘钥即为thisisatestkey==

得到密钥后寻找加密字符串在FileDataActivity中发现9YuQ2dk8CSaCe7DTAmaqAA==

在这里插入图片描述
在这里插入图片描述

AES解密

在线解密网址:http://tool.chacuo.net/cryptaes

在这里插入图片描述
在这里插入图片描述

得到flag:Cas3_0f_A_CAK3

总结

  • AES
  • IDA
  • JADX
本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2021-12-10 ,如有侵权请联系 cloudcommunity@tencent.com 删除
android
编程算法

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

android
编程算法
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 文章目录
  • 一、app2
  • 二、答题步骤
    • 1.运行app
      • 2.jadx反编译apk文件
        • 3.IDA修改apk逻辑实现破解
          • AES解密
          • 总结
          领券

          腾讯云开发者

          扫码关注腾讯云开发者

          扫码关注腾讯云开发者

          领取腾讯云代金券

          热门产品

          热门推荐

          更多推荐

          Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

          深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

          腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

          问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

          Copyright © 2013 - 2024 Tencent Cloud.

          All Rights Reserved. 腾讯云 版权所有

          登录 后参与评论