第34天:攻防世界-Mobile—easyjni
感觉以前写的writeup杂乱无章,没有特定标题,今天学了一手,希望写的越来越好吧。
工具
神器JEB
IDA
知识点
官方名也不会叫,就是加载库文件。
Base64替换密码表
简单算法分析
程序流程
一、java代码分析
先看onCreate函数,关键就是调用aa()方法然后判断。
aa()方法内调用了a1()方法。
a1方法会返回布尔值,这个值也就是ncheck()的返回值。aaa()是另一个类。
aaa类是一个base64替换表加密,有几个特征。
1.定义了密码表。
2.每次循环长度为3,定义长度为4的数组。
3.最后长度不够补 “=”。
根据以上3点,猜测是base64加密,但是密码表被替换了,可以参考easy-apk,同类型加密。
然后接下来就看ncheck()了。
native方法,程序开头也加载了库,所以,将apk解压,然后IDA载入libnative.so文件。
改个类型,还是有点用处的,和app2的做法一样。
两个变换:
1.长度32的字符串,前16个和后16个交换。
2.从字符串首位开始,每2个交换位置。
最后比较
解题思路
- 从字符串首位开始,每2位交换位置。
- 前16和后16进行交换。
- 变异base64解密。
解题脚本
import base64
#每2位交换位置
str1 = list("MbT3sQgX039i3g==AQOoMQFPskB1Bsc7")
str1_result = ''
for i in range(0, len(str1), 2):
str1_result += str1[i+1] + str1[i]
#前16和后16交换位置
str2 = list(str1_result)
str2_result = ''.join(str2[i] for i in range(16, 32)) + ''.join(str2[j] for j in range(0, 16))
#变异base64解密
base_now = ['i', '5', 'j', 'L', 'W', '7', 'S', '0', 'G', 'X', '6', 'u', 'f', '1', 'c', 'v',
'3', 'n', 'y', '4', 'q', '8', 'e', 's', '2', 'Q', '+', 'b', 'd', 'k', 'Y', 'g',
'K', 'O', 'I', 'T', '/', 't', 'A', 'x', 'U', 'r', 'F', 'l', 'V', 'P', 'z', 'h',
'm', 'o', 'w', '9', 'B', 'H', 'C', 'M', 'D', 'p', 'E', 'a', 'J', 'R', 'Z', 'N']
base_now_str = ''.join(i for i in base_now)
base_original_str = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
flag = base64.b64decode(str2_result.translate(str.maketrans(base_now_str, base_original_str)))
print(flag)