[BeginCTF]真龙之力
安装程序
双击安装
![[BeginCTF]真龙之力_第1张图片](http://img.e-com-net.com/image/info8/21da27e62b034910b57d7ba1caadb470.jpg)
出现了安装失败的标签,开发者不允许测试。
查看Mainfest入口文件
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="1" android:versionName="1.0" android:compileSdkVersion="32" android:compileSdkVersionCodename="12" package="com.example.dragon" platformBuildVersionCode="32" platformBuildVersionName="12">
<uses-sdk android:minSdkVersion="22" android:targetSdkVersion="32"/>
<application android:theme="@style/Theme.Dragon" android:label="@string/app_name" android:icon="@mipmap/ic_launcher" android:debuggable="true" android:testOnly="true" android:allowBackup="true" android:supportsRtl="true" android:fullBackupContent="@xml/backup_rules" android:roundIcon="@mipmap/ic_launcher_round" android:appComponentFactory="androidx.core.app.CoreComponentFactory" android:dataExtractionRules="@xml/data_extraction_rules">
<activity android:name="com.example.dragon.MainActivity" android:exported="true">
<intent-filter>
<action android:name="android.intent.action.MAIN"/>
<category android:name="android.intent.category.LAUNCHER"/>
intent-filter>
activity>
application>
manifest>
可以发现android:testOnly:“true”,也就是导致我们无法安装的主要原因。
AndroidKiller修改Mainfest文件进行安装。
![[BeginCTF]真龙之力_第2张图片](http://img.e-com-net.com/image/info8/20f8baf8678841f7ab4d6e118758ecba.jpg)
在AndroidKiller中将Mainfest文件修改成android:testOnly:"flase"或者直接删除这一句,然后编译签名安装就可以了。
abd直接安装
adb install -t .\dragon.apk
使用-t参数直接测试安装。
![[BeginCTF]真龙之力_第3张图片](http://img.e-com-net.com/image/info8/69acb76bb5c04abdaac390d0be22992b.jpg)
分析程序源代码
![[BeginCTF]真龙之力_第4张图片](http://img.e-com-net.com/image/info8/875e7fa62666469e9b52fd665a2f8ff2.jpg)
入口是MainActivity直接进入查看
![[BeginCTF]真龙之力_第5张图片](http://img.e-com-net.com/image/info8/9f444b6052674bc18eeef21ded67a143.jpg)
两个按钮的监听事件,
![[BeginCTF]真龙之力_第6张图片](http://img.e-com-net.com/image/info8/e6f5825f9bae4f95bb82441731e6b599.jpg)
button1
点击后直接如下类
![[BeginCTF]真龙之力_第7张图片](http://img.e-com-net.com/image/info8/809e92c4a5e84b01b3ba4592c6575500.png)
这个encryptString()方法在最开始被注册,来自于native层
也就是在native层验证KEY是否正确
button2
![[BeginCTF]真龙之力_第8张图片](http://img.e-com-net.com/image/info8/695f328c78f44792beaa705d8574902f.png)
使用了一系列算法如下
package com.example.dragon;
import java.util.Arrays;
import java.util.function.ToIntFunction;
/* compiled from: MainActivity.java */
/* loaded from: classes3.dex */
class DragonSwap {
private static final int BLOCK_SIZE = 16;
private static final int[] S_BOX = {9, 11, 25, 20, 15, 30, 24, 23, 2, 26, 28, 13, 16, 19, 29, 31, 5, 4, 17, 12, 14, 8, 27, 21, 22, 3, 7, 0, 18, 6, 10, 1};
private static byte[] encrypt1(byte[] message, String KEY) {
A a = new A();
B b = new B();
long KEY2 = b.math(KEY);
int[] B_BOX = a.rand(KEY2).stream().mapToInt(new ToIntFunction() { // from class: com.example.dragon.DragonSwap$$ExternalSyntheticLambda0
@Override // java.util.function.ToIntFunction
public final int applyAsInt(Object obj) {
Integer valueOf;
valueOf = Integer.valueOf(((Integer) obj).intValue());
return valueOf.intValue();
}
}).toArray();
for (int i = 0; i < message.length; i += 16) {
byte[] block = Arrays.copyOfRange(message, i, i + 16);
for (int j = 0; j < 16; j++) {
int aa = (B_BOX[j] * j) % 16;
byte tmp = block[j];
block[j] = block[aa];
block[aa] = tmp;
}
System.arraycopy(block, 0, message, i, 16);
}
return message;
}
private static byte[] SSBBOOXX(byte[] message) {
byte[] encryptedMessage = new byte[message.length];
for (int i = 0; i < message.length; i++) {
encryptedMessage[i] = message[S_BOX[i]];
}
return encryptedMessage;
}
private static String encrypt2(byte[] message) {
for (int i = 0; i < 16; i++) {
message = SSBBOOXX(message);
}
StringBuilder sb = new StringBuilder();
for (byte b : message) {
sb.append(String.format("%02X", Byte.valueOf(b)));
}
return sb.toString();
}
public String finalenc(String ID, String KEY) {
byte[] flag = ID.getBytes();
byte[] paddedFlag = new byte[(((flag.length + 16) - 1) / 16) * 16];
System.arraycopy(flag, 0, paddedFlag, 0, flag.length);
byte[] encrypted1 = encrypt1(paddedFlag, KEY);
return encrypt2(encrypted1);
}
}
可以发现算法只是涉及到了密文的位置置换,不涉及任何的加密等。
具体逻辑就是通过填充00然后置换之后与密文进行比较,正确则输出”YOU GET IT“不正确则输出交换的结果。
解题
对于native层的程序,我们需要使用压缩包打开apk文件在lib文件夹中则可以看到so文件,其中文件名代表的是不同的架构
![[BeginCTF]真龙之力_第9张图片](http://img.e-com-net.com/image/info8/7a3572261ad340ef90fa5fac5904094c.jpg)
找到主要逻辑
![[BeginCTF]真龙之力_第10张图片](http://img.e-com-net.com/image/info8/65ad0bad69894efaaddc04b3f5e74093.png)
![[BeginCTF]真龙之力_第11张图片](http://img.e-com-net.com/image/info8/6e59224ae3514bb385668c9d14e9daab.jpg)
逻辑就是tea加密,转化为16进制字符串然后比对。
我们输入密钥再输入二十七个字母,程序会输出我们这27个字母被打乱的顺序
![[BeginCTF]真龙之力_第12张图片](http://img.e-com-net.com/image/info8/02e22714f3ce41b691f94432541319d4.jpg)
首先我们解TEA,然后根据程序自己输出的调换位置将字符还原即可
#include
#include