180107 逆向-Xman移动安全冬令营选拔赛
1625-5 王子昂 总结《2018年1月7日》 【连续第464天总结】
A. Xman移动安全冬令营选拔赛
B.
搞完领航杯马不停蹄回来搞移动逆向,感谢主办方延长了时间~
逆向类的题目很有意思(°∀°)ノ
脑洞/杂项类的就……(跪
返老还童
反编译查看java代码,发现调用了一个WebView,加载了包内的check_flag.html
解包拿出来,查看发现存在混淆的js代码
用脚本反混淆并整理变量,发现最后要有3个结构类似的函数,区别只在于核心的比较地方而已
发现onClick方法中有调用js,查看这个函数名发现是中间那个
MainActivity.b.loadUrl("javascript:o0O0oo0o0o0o0oO()");于是针对它分析
function o0O0oo0o0o0o0oO() {
const _0x5de4x3 = navigator['userAgent']['split'](';')['map'](_0x5de4x4 => Number(_0x5de4x4));
var _0x5de4x5 = function (x) {
return function (y) {
var gcm = function (a, b) {
return 0 === b ? a : gcm(b, a % b);
};
return x * x - y * y == 56 * (x + y) && 10000 < x * x + x * y + y * y && 10000 > x * x - x * y - y * y && 7 == gcm(x, y);
};
};
document['getElementById']('result')['innerHTML'] = _0x5de4x5(_0x5de4x3[_0x5de4x3['length'] - 2])(_0x5de4x3[_0x5de4x3['length'] - 1]) ? 'flag is XCTF{your input}' : 'try again';
}这里的gcm函数就是辗转相除法求两数的最大公因子
发现取了两个数,判断它们的返回值是否为1
判断方法就在return那里,由两个方程,两个不等式组成
先记录下来
回头继续分析dex的onClick,在调用js上面还调用了a.a,跟过去看 
这里取了输入内容,以-分隔,一共4组,每组4个字符
下面对字符范围进行了约束,懒得看了233
关键地方在这 
一大坨方程限定4个数字串~
最后a和b就是送入js的两个数
解方程,我用Z3 Z3求解器,还您一身轻松(<ゝω·)
首先反求a和b
from z3 import *
def gcm(a, b):
if a >= b:
if a % b == 0:
return b
else:
return gcm(b, a - b)
else:
return gcm(b, a)
x = Int('x')
y = Int('y')
s = Solver()
s.add(x>0, y>0, x<256, y<256)
s.add(x*x - y*y == 56*(x+y), 1000010000>x*x-x*y-y*y)
result = []
while(s.check()==sat):
m = s.model()
x1 = m[x].as_long()
y1 = m[y].as_long()
if(gcm(x1, y1)== 7):
result.append((x1, y1))
s.add(x!=x1)
print(result) 因为最大公因子这个限定不好加给z3,所以我在求解出结果以后再检查最大公因子,满足则记录,不满足则跳过进行下一个
得到若干解
result = [(91, 35), (105, 49), (119, 63), (133, 77), (147, 91), (161, 105), (175, 119), (189, 133), (203, 147), (217, 161), (231, 175), (245, 189)]
再一个一个把方程拖下来输入进行求解
for i in result:
x2 = i[0] ^ 55
y2 = i[1] + 4^113
a = [BitVec("a%d"%i, 8) for i in range(4)]
b = [BitVec("b%d"%i, 8) for i in range(4)]
c = [BitVec("c%d"%i, 8) for i in range(4)]
d = [BitVec("d%d"%i, 8) for i in range(4)]
s = Solver()
# 限定可见字符
for i in a,b,c,d:
for j in i:
s.add(j>32)
# 一大坨方程
s.add(
a[0] == d[1] - 3,
a[3] == d[2] + 1,
d[2] % 2 == 0,
d[2] == a[2] + 8,
d[0] == a[0] - 2,
d[1] == (a[3] ^ 18),
a[1] * 2 == a[2] - 8,
d[3] == a[2],
d[3] == x2,
12 + b[1] == b[3],
c[1] * 2 == b[3]-11,
b[2] == y2,
b[0] + c[0] == 187,
b[0] + c[3] == 210,
b[3] ^ b[2] == 47,
b[0] ^ b[1] == 15,
c[2] ^ b[1]== 5,
)
# 求解
if(s.check()==sat):
m = s.model()
for i in a,b,c,d:
for j in range(4):
print(chr(m[i[j]].as_long()), end='')
print('-', end='')
print()
else:
print(unsat)结果最后只有第一个result出了可见字符解╮(╯_╰)╭
d2lu-bmVy-Y7hp-bgtl-
提交完成
孔雀翎
回来的时候已经有提示了,让试试反射和Xposed……
这俩我都不会呀~不过之前在52上看到过教程,应该可以试试吧(结果最后也没用上因为我并不会(望天
先反编译查看代码,发现在onClick中取得输入后送入一个反射来的方法进行运算,最后与另一个常量比较 
这个v3就是反射来的方法,用invoke的方式调用,v0即输入就是参数
d.c通过对常数参数做一堆运算返回一个方法
那么关键就是这个方法是啥了
首先试了一下JEB2动态调试,然而单步跟到invoke以后就提示没法继续跟进去了
无奈继续查找
浪费了俩小时也没找到什么能动态调试/dump方法代码的东西
最后无奈的试试IDA动态调试,没想到还真跟进去了
一下就看到了这里v3反射的是a.a.c.d方法
比对了一下smali确认无误后进行静态分析 
……
(╯‵□′)╯︵┻━┻
这个方法里面又进行了5次反射,还好没有别的东西
不会Xp有啥办法尼,硬着头皮怼吧
一一跟进去并记录如下
a.a.c.d
->a.a.c.b(byte[], byte[])
->a.a.c.b(byte[])
->a.a.c.b(string)
->a.a.c.a(String)
->a.a.b.b(byte[])还好这5个方法里没有更复杂的东西╮(╯_╰)╭连库函数都要反射的话我就没辙了
用Xposed应该可以Hook所有方法,把调用过的每个方法名都记录下来。思路是有,奈何Xposed不会写2333等跟着dalao们学习一个
于是挨个静态分析,结合JEB2的动态调试查看变量
PS: IDA能跟到反射方法里去,但是本地变量监视器实现的太差,除了字符串啥都看不到
而JEB2虽然能看到几乎所有类型的本地变量,但是跟不进反射方法(不过可以在反射的方法内下断来调试)
a.a.c.b(byte[] onClick, byte[]v6)
AES加密,key为”imaeskeyimaeskey”
刚开始看到代码只是显示secretKey,还不能确定是什么加密方法,结果看到这个密钥就不用想了233
padding没找到是什么,测试的时候正向输了一个十六个字节的字符串来测试
最后解密出来看到padding是\r
a.a.c.b(byte[] onClick)
转大写HEX
a.a.c.b(string)
将HEX的每个值通过一个字典转换
动态查看字典后发现就是0-16的4位bin显示
如E->1110
a.a.c.a(String onClick)
压缩,将连续的若干1或0压缩成数目
如11100011010->332111
注:开头若为0则舍去
a.a.b.b(byte[])
改了Table的b64,Table通过构造方法生成,动态dump可得
于是按照流程写出脚本:
from Cryptodome.Cipher import AES
from base64 import *
key = b"imaeskeyimaeskey"
aes = AES.new(key, AES.MODE_ECB)
table = ['!', '(', '&', '*', '~', ';', ')', ':', '+', 'I', 'J', 'K', '%', 'M', 'F', 'D', '_', 'W', 'H', 'a', '@', 'G', 'Q', 'R', 'S', 'T', 'N', 'O', '$', 'b', 'c', 'd', '^', 'f', 'g', 'h', 'P', 'L', 'e', 'i', 'j', 'k', 'l', 'm', 'n', 'A', 'B', 'C', '#', 'E', 'o', 'p', 'X', 'V', 'U', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', '?']
# Reverse
s = "!_~&!#+(!_@&!_$*!_+(!_~(!#_(!^~)!_+&!_~((!~(!^~*!^~~!^~~!_~*!^+(!^@(!_+(!^^(!_~*(!~(!_~(!_%*!_~&!_~&!^S(!_~((#~((!~&!^%&!_%&!_+(!^~&!#+((_~(!_~(!_+(!_+;!_+(!^~(!_@&!^~:!^~(!_~(!^~(!_~*!^~;!^+(!_~&!^~(!_~&!^@&!^~(!_~(!^_(!#%(!_~&!^~&!^_&!_+&!__&!_+(!_~(!__~(^~)!_~?"
# b64解密
flag1 = b""
for i in range(len(s)//4):
p = 0
q = 0
for j in s[i*4:i*4+4]:
q = q << 6
q |= table.index(j)
for j in range(3):
p = p << 8
p |= q&0xf
q = q >> 8
flag1 += p.to_bytes(3, 'little')
print(flag1)
# 解压缩
flag2 = ""
f = 1
for i in flag1:
while(i):
flag2 += str(f)
i -= 1
f ^= 1
print(flag2)
# 将BIN转回HEX
flag3 = ""
for i in range(len(flag2)//4):
flag3 += hex(int(flag2[i*4:i*4+4], 2))[2:]
print(flag3)
# 解码
flag4 = bytes.fromhex(flag3)
# 解密
flag = aes.decrypt(flag4)
print(flag)
C. 明日计划
考试~复习~