网鼎杯2020RE
0x00 band
使用frida来dump dex文件,这里使用了https://github.com/hluwa/FRIDA-DEXDump来dump。然后使用jadx打开就可以得到flag。
还是记录下frida安装,正常情况下直接使用pip安装就可以了,我这就是玄学问题。先用pip安装frida,我pip install frida加载了很久感觉不行了,所以去这里下载了egg文件,放到python的script目录下使用easy_install xxx.egg安装也无果,然后放到C://User目录下,在pip install frida成功了。
在模拟器上安装frida-server
-
首先查看模拟器版本
getprop ro.product.cpu.abi
image.png
-
在https://github.com/frida/frida/releases下载对应版本,我这里下载了frida-server-12.9.8-android-x86.xz。
-
然后使用
adb push frida-server-12.9.8-android-x86.xz /data/local/tmp。将frida-server放到模拟器里面。 -
使用adb shell然后cd到data/local/tmp,运行frida-server.
image.png
-
新开一个终端运行
frida-ps -U测试安装是否成功,有返回就成功了。
image.png
开始解题了
在模拟器里面把apk安装好并运行app,然后把frida-server运行起,运行上面那个https://github.com/hluwa/FRIDA-DEXDump的python main.py就会dump出两个dex文件。
image.png
然后使用jadx打开就看到flag了。
image.png
0x01 signal
这个题angr一把梭,找到返回成功字符串的地址:0x40179E和失败字符串地址:0x4016E6,使用angr爆它。
image.png
脚本如下
#-*-coding:utf-8-*-
import angr # 导入angr库
p=angr.Project('./signal.exe',auto_load_libs=False) # 加载程序
state=p.factory.entry_state() # 创建一个状态,默认为程序的入口地址
simgr=p.factory.simgr(state) # 创建一个模拟器用来模拟程序执行,遍历所有路径
# 约束执行的流程,0x40179E为打印成功附近的地址,#0x4016E6附近即为打印错误的地址
res=simgr.explore(find=0x40179E,avoid=0x4016E6)
print (res.found[0].posix.dumps(0)) # 打印found的第一个结果
0x02 jocker
ida打开,对程序做的手脚,F5大法失效了,不过可以看到我们输入的字符串长度应该是0x18。
image.png
继续分析下面的程序,得知我们的输入会经过这两个子函数处理。这两个可以使用F5反汇编,不过没什么用,得到的是一个假的flag。
image.png
看到下面还有两个函数:
image.png
跟进查看,发现这两个函数是被处理过的,这里get了个新方法,使用OD,CTRL+G到0x00401833断下,运行到这里发现函数就被还原了。
image.png
使用OD的脱壳插件,直接脱壳,在使用IDA打开就可以反汇编了。
image.png
main函数如下:
image.png
主要函数在最后if语句里的start,跟进分析。发现就是简单的与'hahahaha_do_you_find_me?'异或然后与v2对比,不过这里这里只异或了前0x13位,还原后得到flag前半部分。
image.png
image.png
后半部分就是脑洞了·········,分析sub_40159A,这个验证随机的是过不了的。
image.png
所以猜测后面部分是与“%tp&:”异或得到的flag后半部分(别问问就是不知道),因为最后flag最后一个必是‘}’,所以‘}‘^':' = 0x47 ,所以这五个字符异或0x47得到后半部分。
image.png
脚本如下;
v2 =[
0x0E,0x0D,0x09,0x06,0x13,0x05,0x58,0x56,
0x3E,0x06,0x0C,0x3C,0x1F,0x57,0x14,0x6B,
0x57,0x59,0x0D
]
a = 'hahahaha_do_you_find_me?'
flag = ''
for i in range(len(v2)):
flag += chr(ord(a[i])^v2[i])
a1 = '%tp&:'
for i in a1:
flag+=chr(ord(i)^0x47)
print(flag)
