攻防世界 Android新手区

阅读数: 次 2020-10-12

安卓利用

利用 apktool 解包

apktool d xxx.apk

利用 d2j-dex2jar 反编译

d2j-dex2jar classes.dex

利用 jd-gui.jar 查看伪代码

java -jar jd-gui-1.6.6.jar

利用 jadx-gui 查看伪代码

https://github.com/skylot/jadx

可以在直接加载 apk 文件

1
2
3

git clone https://github.com/skylot/jadx.git
cd jadx
./gradlew dist

ab包解压 jar 包下载地址

java -jar abe-all.jar unpack app3.ab app3.rar

https://github.com/nelenkov/android-backup-extractor/releases

app2

页面展示

利用 jd-gui.jar 查看伪代码

查看 MainActivity

读取我们的输入。

分别保存到

并传入 secondActivity 中。

跟进 secondActivity

传入的字符串相加然后利用函数 Encryto.doRawData 计算后与字符串 VEIzd/V2UPYNdn/bxH3Xig== 进行比较。

然后发现 Encryto.doRawData 函数是native 层的

所有我们要去利用 ida 反编译 lib 文件夹下的 so文件进行分析。

找到 doRaData 函数

发现是 AES 128 ECB PKCS5Padding 加密

查看函数，发现

加密后进行了 base64 加密然后返回值。

这个时候我们已经得到了秘钥 thisisatestkey==

然后得到了比较字符串 VEIzd/V2UPYNdn/bxH3Xig==

#coding:utf-8
import base64
from Crypto.Cipher import AES

class AesEncry(object):
    key = "thisisatestkey=="  # aes秘钥

    def encrypt(self, data):
        data = json.dumps(data)
        mode = AES.MODE_ECB
        padding = lambda s: s + (16 - len(s) % 16) * chr(16 - len(s) % 16)
        cryptos = AES.new(self.key, mode)
        cipher_text = cryptos.encrypt(padding(data).encode("utf-8"))
        return base64.b64encode(cipher_text).decode("utf-8")

    def decrypt(self, data):
        cryptos = AES.new(self.key, AES.MODE_ECB)
        decrpytBytes = base64.b64decode(data)
        meg = cryptos.decrypt(decrpytBytes).decode('utf-8')
        return meg[:-ord(meg[-1])]

a =AesEncry().decrypt("VEIzd/V2UPYNdn/bxH3Xig==")
print(a)

解密得到的值为 aimagetencent

发现答案不对

在反编译的代码中另一个类找到可能的字符串

9YuQ2dk8CSaCe7DTAmaqAA==

利用这个解密

			#coding:utf-8
import base64
from Crypto.Cipher import AES

class AesEncry(object):
    key = "thisisatestkey=="  # aes秘钥

    def encrypt(self, data):
        data = json.dumps(data)
        mode = AES.MODE_ECB
        padding = lambda s: s + (16 - len(s) % 16) * chr(16 - len(s) % 16)
        cryptos = AES.new(self.key, mode)
        cipher_text = cryptos.encrypt(padding(data).encode("utf-8"))
        return base64.b64encode(cipher_text).decode("utf-8")

    def decrypt(self, data):
        cryptos = AES.new(self.key, AES.MODE_ECB)
        decrpytBytes = base64.b64decode(data)
        meg = cryptos.decrypt(decrpytBytes).decode('utf-8')
        return meg[:-ord(meg[-1])]

a =AesEncry().decrypt("9YuQ2dk8CSaCe7DTAmaqAA==")
print(a)

结果

Cas3_0f_A_CAK3

app3

题目给了一个 ab 文件

我们需要利用 abe.jar 进行解包

java -jar abe-all.jar unpack app3.ab app3.rar

解包后得到

然后看看这个 base.apk 是干什么的

修改后缀为 zip 解压

然后利用

d2j-dex2jar classes.dex 反编译利用 jd-gui 查看代码

查看 MainActivity.class

onCreate 会调用 a 函数。

a 函数是一个数据库连接的

连接的是 Demo.db 数据库

然后里面会实例化 a 类

跟进发现里面在创建的时候调用了 create table TencentMicrMsg(name text,password integer,F_l_a_g text)

接着回到 MainActivity.class

发现有实例化了一个 a 对象跟进

会创建一个新的类b

这个类 jd-gui 不能很好的反编译

所以我们换用 jadx 进行反编译

反编译得到的伪代码就会清楚很多

Class a

Class b

主要更具 MainActivity 的方法来了解加密算法。

contentValues.put("name", "Stranger");
contentValues.put("password", (Integer) 123456);
a aVar = new a();
String a2 = aVar.a(contentValues.getAsString("name"), contentValues.getAsString("password"));
this.a = this.b.getWritableDatabase(aVar.a(a2 + aVar.b(a2, contentValues.getAsString("password"))).substring(0, 7));
this.a.insert("TencentMicrMsg", null, contentValues);

String a2 = aVar.a(contentValues.getAsString("name"), contentValues.getAsString("password"));

发现首先传入 "Stranger" 字符串 "123456" 密码进行拼接成为 "Stra1234"

this.b.getWritableDatabase(aVar.a(a2 + aVar.b(a2, contentValues.getAsString("password"))).substring(0, 7));

然后 a.b 实际调用 b.a("Stra1234") 这样的方法

public String b(String str, String str2) {
    new b();
    return b.a(str);
}

然后创建调用 b类的 a方法

调用 MD5 然后进行位移操作应该是一个 base16 的变形

public static final String a(String str) {
    char[] cArr = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
    try {
        byte[] bytes = str.getBytes();
        MessageDigest instance = MessageDigest.getInstance("MD5");
        instance.update(bytes);
        byte[] digest = instance.digest();
        int length = digest.length;
        char[] cArr2 = new char[(length * 2)];
        int i = 0;
        for (byte b : digest) {
            int i2 = i + 1;
            cArr2[i] = cArr[(b >>> 4) & 15];
            i = i2 + 1;
            cArr2[i2] = cArr[b & 15];
        }
        return new String(cArr2);
    } catch (Exception e) {
        return null;
    }
}

接着 a.a 方法实际调用 b.b(("Stra1234"+a("Stra1234"))+"yaphetshan")

private String a = "yaphetshan";
public String a(String str) {
    new b();
    return b.b(str + this.a);
}

b.b 的方法为

进行 SHA-1 方法加密然后也是进行了 base16 操作

public static final String b(String str) {
    char[] cArr = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
    try {
        byte[] bytes = str.getBytes();
        MessageDigest instance = MessageDigest.getInstance("SHA-1");
        instance.update(bytes);
        byte[] digest = instance.digest();
        int length = digest.length;
        char[] cArr2 = new char[(length * 2)];
        int i = 0;
        for (byte b : digest) {
            int i2 = i + 1;
            cArr2[i] = cArr[(b >>> 4) & 15];
            i = i2 + 1;
            cArr2[i2] = cArr[b & 15];
        }
        return new String(cArr2);
    } catch (Exception e) {
        return null;
    }
}

然后只取 0-7

因为是Java 代码我们可以直接复制调用得到密码。

exp

package com.company;

import java.security.MessageDigest;

public class Main {

    public static String a(String str) {
        byte[] digest;
        char[] cArr = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
        try {
            byte[] bytes = str.getBytes();
            MessageDigest instance = MessageDigest.getInstance("MD5");
            instance.update(bytes);

            char[] cArr2 = new char[(16 * 2)];
            int i = 0;
            for (byte b : instance.digest()) {
                int i2 = i + 1;
                cArr2[i] = cArr[(b >>> 4) & 15];
                i = i2 + 1;
                cArr2[i2] = cArr[b & 15];
            }
            return new String(cArr2);
        } catch (Exception e) {
            return null;
        }
    }
    public static final String b(String str) {
        byte[] digest;
        char[] cArr = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
        try {
            byte[] bytes = str.getBytes();
            MessageDigest instance = MessageDigest.getInstance("SHA-1");
            instance.update(bytes);
            char[] cArr2 = new char[(32 * 2)];
            int i = 0;
            for (byte b : instance.digest()) {
                int i2 = i + 1;
                cArr2[i] = cArr[(b >>> 4) & 15];
                i = i2 + 1;
                cArr2[i2] = cArr[b & 15];
            }
            return new String(cArr2);
        } catch (Exception e) {
            return null;
        }
    }
    public static void main(String[] args){
        String one = a("Stra1234");
        String two = ("Stra1234"+one+"yaphetshan");
        System.out.println(b(two).substring(0,7));
    }
}

解密后 ae56f99

然后连接 Encryto.db 数据库密码学 ae56f99

返现 F_l_a_g

VGN0ZntIM2xsMF9Eb19ZMHVfTG92M19UZW5jM250IX0=

常识base64 解密

Tctf{H3ll0_Do_Y0u_Lov3_Tenc3nt!}

easy-apk

改为zip 解压

反编译 dex 文件

Jd-gui 查看反编译

MainActivity.class

发现我们的输入。进行 base64 操作等于一个值

然后查看 base64 加密

发现是一个变表的 Base64 加密

exp

# -*- coding: UTF-8 -*-
base = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="

base64_charset = ['v', 'w', 'x', 'r', 's', 't', 'u', 'o', 'p', 'q', 
                    '3', '4', '5', '6', '7', 'A', 'B', 'C', 'D', 'E', 
                    'F', 'G', 'H', 'I', 'J', 'y', 'z', '0', '1', '2', 
                    'P', 'Q', 'R', 'S', 'T', 'K', 'L', 'M', 'N', 'O', 
                    'Z', 'a', 'b', 'c', 'd', 'U', 'V', 'W', 'X', 'Y', 
                    'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 
                    '8', '9', '+', '/' ]

diy_base = "".join(base64_charset)
cipher  = "5rFf7E2K6rqN7Hpiyush7E6S5fJg6rsi5NBf6NGT5rs="
new_cipher = ""

for i in range(len(cipher)):
    new_cipher += base[diy_base.find(cipher[i])]
print "new_cipher: " + new_cipher

flag = new_cipher.decode("base64")
print(flag)

解密

所以 flag = flag{05397c42f9b6da593a3644162d36eb01}

easyjava

这道题利用 jadx-gui 反编译 apk\

MainActivity.class

看看程序运行逻辑需要输入 flag 所以传入的值就是我们的输入

会调用 MainActivity 的 b方法进行操作

public static Boolean b(String str) {
    if (!str.startsWith("flag{")) {
        return false;
    }
    if (!str.endsWith("}")) {
        return false;
    }
    String substring = str.substring(5, str.length() - 1);
    b bVar = new b(2);
    a aVar = new a(3);
    StringBuilder sb = new StringBuilder();
    int i = 0;
    for (int i2 = 0; i2 < substring.length(); i2++) {
        sb.append(a(substring.charAt(i2) + "", bVar, aVar));
        Integer valueOf = Integer.valueOf(bVar.b().intValue() / 25);
        if (valueOf.intValue() > i && valueOf.intValue() >= 1) {
            i++;
        }
    }
    return Boolean.valueOf(sb.toString().equals("wigwrkaugala"));
}

判断开始是不是 flag{ 结束是不是 }
取括号里面的值
创建 b 实例和 a实例这个实例我们可以发复制代码直接实现

b(2)

package com.a.easyjava;

import java.util.ArrayList;

public class b {
    public static ArrayList<Integer> a = new ArrayList<>();
    static String b = "abcdefghijklmnopqrstuvwxyz";
    static Integer d = 0;
    Integer[] c = {8, 25, 17, 23, 7, 22, 1, 16, 6, 9, 21, 0, 15, 5, 10, 18, 2, 24, 4, 11, 3, 14, 19, 12, 20, 13};

    public b(Integer num) {
        for (int intValue = num.intValue(); intValue < this.c.length; intValue++) {
            a.add(this.c[intValue]);
        }
        for (int i = 0; i < num.intValue(); i++) {
            a.add(this.c[i]);
        }
    }

    public static void a() {
        int intValue = a.get(0).intValue();
        a.remove(0);
        a.add(Integer.valueOf(intValue));
        b += "" + b.charAt(0);
        b = b.substring(1, 27);
        Integer num = d;
        d = Integer.valueOf(d.intValue() + 1);
    }

    public Integer a(String str) {
        int i = 0;
        if (b.contains(str.toLowerCase())) {
            Integer valueOf = Integer.valueOf(b.indexOf(str));
            for (int i2 = 0; i2 < a.size() - 1; i2++) {
                if (a.get(i2) == valueOf) {
                    i = Integer.valueOf(i2);
                }
            }
        } else {
            i = str.contains(" ") ? -10 : -1;
        }
        a();
        return i;
    }

    public Integer b() {
        return d;
    }
    public static void main(String[] args) {
        b bvar = new b(2);
        System.out.println(bvar);
    }
}

# new b(2)
# com.a.easyjava.b@626b2d4a

a(3)

package com.a.easyjava;

import java.util.ArrayList;

public class a {
    public static ArrayList<Integer> a = new ArrayList<>();
    static String b = "abcdefghijklmnopqrstuvwxyz";
    static Integer d = 0;
    Integer[] c = {7, 14, 16, 21, 4, 24, 25, 20, 5, 15, 9, 17, 6, 13, 3, 18, 12, 10, 19, 0, 22, 2, 11, 23, 1, 8};

    public a(Integer num) {
        for (int intValue = num.intValue(); intValue < this.c.length; intValue++) {
            a.add(this.c[intValue]);
        }
        for (int i = 0; i < num.intValue(); i++) {
            a.add(this.c[i]);
        }
    }

    public static void a() {
        Integer num = d;
        d = Integer.valueOf(d.intValue() + 1);
        if (d.intValue() == 25) {
            int intValue = a.get(0).intValue();
            a.remove(0);
            a.add(Integer.valueOf(intValue));
            d = 0;
        }
    }

    public char a(Integer num) {
        Integer num2 = 0;
        if (num.intValue() == -10) {
            a();
            return " ".charAt(0);
        }
        for (int i = 0; i < a.size() - 1; i++) {
            if (a.get(i) == num) {
                num2 = Integer.valueOf(i);
            }
        }
        a();
        return b.charAt(num2.intValue());
    }

    public static void main(String[] args) {
        System.out.println(new a(3));
    }
}
# new a(3)
# com.a.easyjava.a@626b2d4a

接着调用 a(substring.charAt(i2) + "", bVar, aVar)

private static char a(String str, b bVar, a aVar) {
    return aVar.a(bVar.a(str));
}

调用过程函数依次为

bvar.a
      public Integer a(String str) {
        int i = 0;
        if (b.contains(str.toLowerCase())) {
            Integer valueOf = Integer.valueOf(b.indexOf(str));
            for (int i2 = 0; i2 < a.size() - 1; i2++) {
                if (a.get(i2) == valueOf) {
                    i = Integer.valueOf(i2);
                }
            }
        } else {
            i = str.contains(" ") ? -10 : -1;
        }
        a();
        return i;
    }
avar.a
      public char a(Integer num) {
        Integer num2 = 0;
        if (num.intValue() == -10) {
            a();
            return " ".charAt(0);
        }
        for (int i = 0; i < a.size() - 1; i++) {
            if (a.get(i) == num) {
                num2 = Integer.valueOf(i);
            }
        }
        a();
        return b.charAt(num2.intValue());
    }