某新生院赛CTF 移动题writeup
题目提供了一个apk,常规考察内容一般为逆向、挖洞~
1.程序初步分析
获取一个apk后第一件事情肯定是运行,看看题目到底是要干嘛,是要逆向分析算法,还是利用一些Androd机制。截图如下:
程序只有一个按钮,运行之后出现了爱的提示,那意味着这道题很可能不是逆向算法找出flag,很有可能是让我们利用一些其他手段。那么也得要了解程序大致逻辑吧,没有源码只能逆向。
我的思路一般是先找入口点,包括main activity,broadcast receiver等等,目测只有一个main入口
main activity啥也没干,就把爱放了出来~但是这道题目算是给新生的入门题目,程序代码目录下都出现了很多爱,包括这么一个类com.rois.mobi.RightWay
也就是说,只要我能分析出这个方法具体干了什么flag就迎刃而解了。该方法是获取了自己报名的签名,去前面16字节尽心一个sm4算法,最后算出flag,一起输出~因为该方法跟本没法调用。所以这题本意就不是什么分析算法了,题目也放了一个爱的提示:师傅密码学不好。所以方法基本上应该锁定在如何调用这个方法。也就是出这题目的本意:动态加载。当然,后面自己做这道题目的时候发现了一种更为简单的党法,就是修改静态函数也可以做到~
2.解题分析
既然知道了做题思路,那么可以开始动手了。还是先上最简单的方法吧。
(1)把com.rois.mobi.RightWay.rightGetKey变成静态方法
于是使用VTS打开apk,找到类smail,原型签名为Lcom/rois/mobi/right/RightWay;->rightGetKey(Landroid/content/Context;)V,将其修改为静态类,成为静态类之后,就不存在p0表示this指针,因此,现在所有p0表示的是参数Landroid/content/Context;,原来表示该参数的p1就不存在了;之前java源码中,该方法中所有this.成员也要修改为static,在这个程序中是改:.field private static mPm:Landroid/content/pm/PackageManager;,因此下面所有所有涉及mPm的使用都要由i系列的操作改为s系列,例如:iget-object修改为 sget-object( 实例操作变为类操作)。稍微小调整一下就可以了,最后该方法代码为(可以原来程序smali对比):
.method public static rightGetKey(Landroid/content/Context;)V
.locals 14
.parameter "context"
.prologue
const/16 v13, 0x10
const/4 v5, 0x0
.line 66
const-string v10, "ROISMobi2"
const-string v11, "go go check out"
invoke-static {v10, v11}, Landroid/util/Log;->i(Ljava/lang/String;Ljava/lang/String;)I
.line 67
new-instance v0, Lcom/rois/mobi/uitls/Do;
invoke-direct {v0}, Lcom/rois/mobi/uitls/Do;-><init>()V
.line 69
.local v0, cy:Lcom/rois/mobi/uitls/Do;
const/4 v9, 0x0
.line 70
.local v9, str:Ljava/lang/String;
new-array v4, v13, [B
.line 71
.local v4, out:[B
new-array v1, v13, [B
.line 72
.local v1, in:[B
invoke-virtual {p0}, Landroid/content/Context;->getPackageManager()Landroid/content/pm/PackageManager;
move-result-object v10
sput-object v10, Lcom/rois/mobi/right/RightWay;->mPm:Landroid/content/pm/PackageManager;
.line 73
const/4 v8, 0x0
.line 75
.local v8, signatures:[Landroid/content/pm/Signature;
:try_start_0
sget-object v10, Lcom/rois/mobi/right/RightWay;->mPm:Landroid/content/pm/PackageManager;
const-string v11, "com.rois.mobi"
……
.end method
根据方法的原型签名:Lcom/rois/mobi/right/RightWay;->rightGetKey(Landroid/content/Context;)V知道需要要传递一个Context参数,在main activity中,p0正好合适。于是在main activity中加入:
invoke-static {p0}, Lcom/rois/mobi/right/RightWay;->rightGetKey(Landroid/content/Context;)V
这样程序就完成了修改,可以运行出flag了。
(2)动态加载
动态加载是搞android安全必须要了解的,利用类加载器,反射,可以实现对未加载类的加载,相关函数的调用,可以做很多是事情。了解了简单的使用方法后,就可以编程实现了。代码内容简单。
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_first);
sendButton = (Button)findViewById(R.id.sendSMS);
sendButton.setOnClickListener(new OnClickListener() {
@SuppressLint("NewApi")
@Override
public void onClick(View v) {
DexClassLoader apk = new DexClassLoader(Environment.getExternalStorageDirectory().getAbsolutePath()+"/ROISmobi.apk",
getApplicationContext().getFilesDir().getAbsolutePath(),null,ClassLoader.getSystemClassLoader());
try {
Class<?> rw = apk.loadClass("com.rois.mobi.right.RightWay");
Constructor<?> rwConstructor = rw.getConstructor();
Method rightGetKeyMid = rw.getMethod("rightGetKey",android.content.Context.class);
rightGetKeyMid.setAccessible(true);
Object rwInstance = rwConstructor.newInstance();
rightGetKeyMid.invoke(rwInstance,MainActivity.this);
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (InstantiationException e) {
e.printStackTrace();
} catch (IllegalAccessException e) {
e.printStackTrace();
} catch (NoSuchMethodException e) {
e.printStackTrace();
} catch (IllegalArgumentException e) {
e.printStackTrace();
} catch (InvocationTargetException e) {
e.printStackTrace();
}
}
});
}
这个就是当时题目的本意。不过能解出来,什么方法都是好方法