学习练手——wmctf2020

阅读：评论：0

学习练手——wmctf2020

目录

一环境
二.分析过程
2.1 JAVA层
2.2 SO层
2.2.1 init_array段
2.2.2 .init段
2.2.3 算法分析

三结果

一环境

手机：Pixel 1
系统：Android 8.1
软件：IDA 7.5、JADX
难度：中等

apk资源(0积分下载)

二.分析过程

在ROOT过的手机中打开APP，会发现App会崩溃，只有在非ROOT手机中打开，才会正常显示，很明显APP对手机的环境有检测。

2.1 JAVA层

1 将APK放入JADX中，从最开始的onCreate中就发现了检测。那么就有很多中方法绕过：(1)直接通过AndroidKiller修改，然后重新打包；(2)通过HOOK的方法直接修改对应方法的返回值。本文直接采用了1方法，修改APK来进行绕过

2 从 this.b.setOnClickListener()找到点击事件和关键的方法check,发现check是native方法。

3.将修改之后的APK，进行重新安装之后，发现还是和原来一样，那么说明还有检测，只能实在SO层。

2.2 SO层

2.2.1 init_array段

(1) 创建进程失败的话就退出APP

(2)那么重点查看下sub_E588

(2)但是上面的检测都没有效果，APP还是无法正常启动，无法进入JNI_OnLoad，那么说明SO中还有检测

2.2.2 .init段

在导出表中存在.init_proc这个函数名字

(1)ROOT检测

（2）在指定的目录下查找有没有xposed文件名的文件，可以通过IDA动态调试确认

(3)绕过方法：1.通过HOOK的方法，对sub_D994 传入的PID进行修改；2.通过IDA直接修改SO，进入sub_D994直接返回或者nop掉函数中的内容等。本文是通过第二种方法，将修改之后的SO，替换AndroidKiller中APK工程的SO，然后重新打包，进行安装就能正常打开

2.2.3 算法分析

3.1 确定JAVA层check方法对应的SO层中的位置。

(1)通过IDA加载jni.h文件，导入符号信息
(2)打开导出表搜索JNI_OnLoad
(3)通过JNI_OnLoad中有明显的RegisterNatives,点击查看第三个参数methods,methods是一个数组，每项中的1：JAVA层方法名字符串的指针，2：JAVA层方法参数和返回值类型字符串的指针，3.对应native层函数的地址。所以就确定了在SO层的位置

3.2 分析

1.修改sub_10F00中变量的类型和名字，名字可以按照自己习惯的取

2.将和传入变量赋值有关的也取名

3.简单分析下 sub_10F00 的第三个变量值都参与了那些函数的运算，发现只有一处sub_10D24，参与了运算

;
4.根据结果是需要1，查看下sub_10F00 返回值哪里会有1，最后发现sub_DB8C函数返回值为0，那么最后sub_10F00 返回值就是1

;
5.查看sub_DB8C 发现是简单的字符比较，将参数1和参数2，进行比较，相等返回就是0，那么参数1或者参数2中，肯定一个是flag加密后的内容一个是自己输入后的内容，而且根据参数3是32，说明长度就是32

6.简单查看下sub_DB8C 的第一个参数是unk_296C0 赋值过来的，加上又是32个字节，就大概猜测是下图的内容就是key。

7.简单查看下sub_DB8C 的第二个参数是大概率就是输入的内容加密后，另外还参加了sub_10D24。

8.sub_DB8C函数的参数大概的意义已经猜测的差不多，那么sub_10D24函数的也只剩下头两个参数，不过很明显sub_10D24 第一个参数是一个常量数组

9.sub_10D24 第二个参数从静态很明显是sub_E074的传出值，因为v17没有参加计算，另外key只有参加了sub_E074计算，明显也是sub_E074函数的传出变量。

10.sub_E074 的参数2: v17,从初始化开始只有sub_E260 是对v17进行赋值的地方。

11.通过动态调试或者HOOK的手段，确定之前分析的地方是不是正确的。IDA动态调试的过程就是贴图了。（如果上面那些步骤都可以边分析，边动态调试确认)
12.通过动态调试，确认了 sub_10D24 参数2 是固定的传入值，参数7 就是输入的flag, 参数8 就是输出加密后的内容，那么继续查看sub_10D24 内部是如何对输入的flag，进行加密的
13.对参数进行重命名之后(result 就是输出变量)，查看到对 result 赋值的地方有两处，通过动态调试之后，确定是第二个do…while。

14.加密的方法明显是异或，而且是将输入的flag 每128个位和 v16 每128个位进行抑或，通过IDA动态调试获取v32，content_char_1_0_128 和它们异或之后的结果，进行比较之后实际上是 v16和content_char 数组从0开始分别取值进行异或。

15.另外通过动态调试确定v16是固定的值，那么根据sub_DB8C 函数的参数1,也就是正确的flag加密后的数组，通过和v16进行异或，就能拿到正确的flag。

int[]eor_flag={0x2B,0x31,0xA9,0x7F,0x7A,0x85,0x71,0xED,0x06,0x83,0x72,0xDB,0x52,0xC5,0xC9,0xCD,0xC2,0x2A,0x66,0xF0,0x46,0xAF,0x9A,0x5F,0xA6,0x5F,0x63,0xB2,0x3B,0x2E,0x8B,0xCA};
//这里的key也就是v16
int[]v16={0x7C,0x2,0xC5,0x1C,0x15,0xE8,0x14,0xB9,0x36,0xD4,0x3F,0x98,0x6,0x83,0xE8,0x92,0xE8,0x6C,0x13,0xC2,0x18,0xF0,0xDB,0x31,0xF2,0x6E,0x3C,0x81,0x9,0x6B,0xB8,0xEE};
byte[]result=new byte[v16.length];
for (int i = 0; i < eor_flag.length; i++) {result[i]= (byte) (v16[i]^eor_flag[i]);
}
System.out.println(new String(result));

16.但是输出内容是乱码的，所以是错误的，说明v16的数组有问题，v16是sub_10AC0 函数获取出来的，sub_10AC0 参数3是固定的8，那么说明和参数1有关，sub_10AC0 参数1又是sub_10874 函数的传出参数，sub_10874的参数中参数3也是固定的，那么和sub_10874参数2有关。也就是sub_10D24传入的参数2（备注sub_10874和sub_10AC0内部都是纯算法）

17.sub_10D24 的参数2 key 是sub_E074 传出的，那么查看sub_E074的函数。发现内部有读取文件，通过IDA发现是读取了tracepid的值，并对传出的参数进行了修改，那么就通过IDA动态调试的时候将 atoi(v24);的返回值设置为0.

18.重新动态调试到sub_10D24函数中的异或的部分获取v16 保存的数组就是

int[]v16={0x7C,0x2,0xC5,0x1C,0x15,0xE8,0x14,0xB9,0x36,0xD4,0x3F,0x98,0x6,0x83,0xE8,0x92,0xE8,0x6C,0x13,0xC2,0x18,0xF0,0xDB,0x31,0xF2,0x6E,0x3C,0x81,0x9,0x6B,0xB8,0xEE};

19.将重新获取v16,填入到第15步写的算法之后，就会计算出真正flag=W3lcomeT0WMCTF!_*Fu2^_AnT1_32E3$

int[]eor_flag={0x2B,0x31,0xA9,0x7F,0x7A,0x85,0x71,0xED,0x06,0x83,0x72,0xDB,0x52,0xC5,0xC9,0xCD,0xC2,0x2A,0x66,0xF0,0x46,0xAF,0x9A,0x5F,0xA6,0x5F,0x63,0xB2,0x3B,0x2E,0x8B,0xCA};
//这里的key也就是v16
int[]v16={0x7C,0x2,0xC5,0x1C,0x15,0xE8,0x14,0xB9,0x36,0xD4,0x3F,0x98,0x6,0x83,0xE8,0x92,0xE8,0x6C,0x13,0xC2,0x18,0xF0,0xDB,0x31,0xF2,0x6E,0x3C,0x81,0x9,0x6B,0xB8,0xEE};
byte[]result=new byte[v16.length];
for (int i = 0; i < eor_flag.length; i++) {result[i]= (byte) (v16[i]^eor_flag[i]);
}
System.out.println(new String(result));