美文网首页
网鼎杯2020RE

网鼎杯2020RE

作者: Adam_0 | 来源:发表于2020-06-17 13:43 被阅读0次

    0x00 band

    使用frida来dump dex文件,这里使用了https://github.com/hluwa/FRIDA-DEXDump来dump。然后使用jadx打开就可以得到flag。
    还是记录下frida安装,正常情况下直接使用pip安装就可以了,我这就是玄学问题。先用pip安装frida,我pip install frida加载了很久感觉不行了,所以去这里下载了egg文件,放到python的script目录下使用easy_install xxx.egg安装也无果,然后放到C://User目录下,在pip install frida成功了。

    在模拟器上安装frida-server

    1. 首先查看模拟器版本
      getprop ro.product.cpu.abi

      image.png

    2. https://github.com/frida/frida/releases下载对应版本,我这里下载了frida-server-12.9.8-android-x86.xz。

    3. 然后使用adb push frida-server-12.9.8-android-x86.xz /data/local/tmp。将frida-server放到模拟器里面。

    4. 使用adb shell然后cd到data/local/tmp,运行frida-server.


      image.png

    5. 新开一个终端运行frida-ps -U测试安装是否成功,有返回就成功了。

      image.png

    开始解题了

    在模拟器里面把apk安装好并运行app,然后把frida-server运行起,运行上面那个https://github.com/hluwa/FRIDA-DEXDumppython main.py就会dump出两个dex文件。

    image.png
    然后使用jadx打开就看到flag了。
    image.png

    0x01 signal

    这个题angr一把梭,找到返回成功字符串的地址:0x40179E和失败字符串地址:0x4016E6,使用angr爆它。

    image.png

    脚本如下

    #-*-coding:utf-8-*-
import angr # 导入angr库
p=angr.Project('./signal.exe',auto_load_libs=False) # 加载程序
state=p.factory.entry_state() # 创建一个状态,默认为程序的入口地址
simgr=p.factory.simgr(state) # 创建一个模拟器用来模拟程序执行,遍历所有路径
# 约束执行的流程,0x40179E为打印成功附近的地址,#0x4016E6附近即为打印错误的地址
res=simgr.explore(find=0x40179E,avoid=0x4016E6) 
print (res.found[0].posix.dumps(0)) # 打印found的第一个结果

    0x02 jocker

    ida打开,对程序做的手脚,F5大法失效了,不过可以看到我们输入的字符串长度应该是0x18。


    image.png

    继续分析下面的程序,得知我们的输入会经过这两个子函数处理。这两个可以使用F5反汇编,不过没什么用,得到的是一个假的flag。


    image.png

    看到下面还有两个函数:

    image.png

    跟进查看,发现这两个函数是被处理过的,这里get了个新方法,使用OD,CTRL+G到0x00401833断下,运行到这里发现函数就被还原了。


    image.png

    使用OD的脱壳插件,直接脱壳,在使用IDA打开就可以反汇编了。


    image.png
    main函数如下:
    image.png

    主要函数在最后if语句里的start,跟进分析。发现就是简单的与'hahahaha_do_you_find_me?'异或然后与v2对比,不过这里这里只异或了前0x13位,还原后得到flag前半部分。


    image.png
    image.png

    后半部分就是脑洞了·········,分析sub_40159A,这个验证随机的是过不了的。


    image.png

    所以猜测后面部分是与“%tp&:”异或得到的flag后半部分(别问问就是不知道),因为最后flag最后一个必是‘}’,所以‘}‘^':' = 0x47 ,所以这五个字符异或0x47得到后半部分。


    image.png

    脚本如下;

    v2 =[
    0x0E,0x0D,0x09,0x06,0x13,0x05,0x58,0x56,
    0x3E,0x06,0x0C,0x3C,0x1F,0x57,0x14,0x6B,
    0x57,0x59,0x0D
    ]

a = 'hahahaha_do_you_find_me?'
flag = ''
for i in range(len(v2)):
    flag += chr(ord(a[i])^v2[i])
a1 = '%tp&:'
for i in a1:
    flag+=chr(ord(i)^0x47)
print(flag)

    相关文章

      网友评论

          本文标题:网鼎杯2020RE

          本文链接:https://www.haomeiwen.com/subject/qwzjxktx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|网鼎杯2020RE|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!