DDCTF安卓题-writeup

0x01 引子

前段做了一个滴滴CTF的其中一道安卓题目,题目并不难,主要分享一下做题过程和思路。

题目包

0x02 要求与提示

赛题背景:本挑战结合了Android, Java, C/C++,加密算法等知识点,考察了挑战者的binary逆向技术和加密算法能力。

赛题描述:本题是一个app,请试分析app中隐藏的key,逆向加密算法并得到对应的秘钥。可以在app中尝试输入key,如果正确会显示“correct”,如果错误会显示“Wrong”。
提 示:阅读assembly code,理解xor的加密逻辑和参数,解出答案。
评分标准:key正确则可进入下一题。

Flag格式为DDCTF-XXXXXXXXXXXX@didichuxing.com

还是很好辨认的

0x03 分析与过程

运行app后

直接点击下方的TEST按钮显示Wrong
上apkkiller
找到关键位置,进行关键词搜索(搜Wrong)。

appkiller找到关键位置

反编译源码(appkiller上点击java图标)

关键位置源码

这里直接贴上来代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
public class MainActivity
extends AppCompatActivity
{
private TextView mFlagEntryView;
private TextView mFlagResultView;
static
{
System.loadLibrary("hello-libs");
}
public void onClickTest(View paramView)
{
if (this.mFlagEntryView.getText().toString().equals(stringFromJNI())) {
this.mFlagResultView.setText("Correct");
}
for (;;)
{
return;
this.mFlagResultView.setText("Wrong");
}
}
protected void onCreate(Bundle paramBundle)
{
super.onCreate(paramBundle);
setContentView(2130968602);
this.mFlagEntryView = ((TextView)findViewById(2131427413));
this.mFlagResultView = ((TextView)findViewById(2131427415));
}
public native String stringFromJNI();
}

其中onClickTest响应TEST按钮点击

this.mFlagEntryView.getText().toString().equals(stringFromJNI())

从mFlagEntryView得到view控件内容,tostring转string型,使用equals对比stringFromJNI()返回值。

一般我们应该跟踪stringFromJNI()函数看他返回了什么值,接下来查找该函数的来源

static
{
System.loadLibrary(“hello-libs”);
}

加载了so模块hello-libs

7zip打开apk

这个时候分析so文件获取flag就行了。

so文件拖入IDA

这里很简单并没有加什么混淆,直接写在so文件中,到这里就算完成这题。

0x04 另一种思路

如果这个题目的so中是经过运算加密返回的,并无法直接静态看到flag那该怎么办。

this.mFlagEntryView.getText().toString().equals(stringFromJNI())

前面我们分析过这个位置,因为使用equals进行字符串对比。
看下equals的java解释

equals解释

Equals之前使用了tostring,所以如果mFlagEntryView的内容与stringFromJNI返回值相同才会出现true的情况,那么也就是说stringFromJNI是把flag返回到程序领空的,我们直接修改smil代码把flag显示在mFlagResultView中。

直接修改smail语句实现flag显示在view中

直接修改smail语句实现flag显示在view中

直接获取stringFromJNI返回值然后赋值给mFlagResultView,再安装运行即可。
打包运行效果