CTF 《2015移动安全挑战赛》第二题 AliCrackme_2 逆向

新闻资讯   2023-07-12 17:59   61   0  




前言


路漫漫其修远兮,吾将上下而求索。

看雪ctf板块中:






入手点定位


安装apk,需逆向寻找正缺的密码:



将AliCrackme_2.apk使用jadx打开,从提示信息入手,搜索:校验码校验失败。


可定位到MainActivity中onCreate()方法中的onClick()方法:


获取用户输入后,使用 securityCheck() 方法检查 result 变量中的验证码是否通过校验。


从代码中可以看出securityCheck()是个native方法,需在so文件中进行分析。
目标明确了分析libcrackme.so文件中的securityCheck()方法。





so 静态分析


ida打开so文件,Function界面搜索securityCheck即可定位到该函数,双击进入后按F5反汇编,将函数的参数一和参数二改写:JNIEnv *env, jobject obj。




主要看一下这几行代码,一并写好注释了:


v5 = (*env)->GetStringUTFChars(env, password, 0); // v5为用户输入的密码
v6 = off_628C; // off_628C:aWojiushidaan
while ( 1 ) // while循环判断用户输入内容
{
v7 = *v6; // v6 指针所指向的地址中的字符,赋值给 v7 变量
if ( v7 != *v5 ) // 检查 v7 和 v5 变量中存储的字符是否相等。如果不相等,则跳出循环。
break;
++v6; // 这两行代码将 v6 和 v5 的值递增,使它们指向下一个字符。
++v5;
v8 = 1;
if ( !v7 ) // 如果 v7 中的字符为空(即字符串结束符),则返回 v8 的值。
return v8;
}
return 0; // 如果前面的循环没有提前退出并且未返回 v8 的值,则说明字符串不匹配,函数返回 0 表示不相等。
}


看似 aWojiushidaan 这串字符就是密码了,输入依旧报:校验码校验失败。
果然没那么简单!!!





反调试方式确认


题目中已给出说明:程序中利用So反调试。既然有反调试,那肯定得进行反反调试。


首先用firda进行附加,发现程序并不会推出,代码也能正常附加,那么就不是反frida调试了!


再用ida进行调试,发现一附加程序就关闭,可以确定是反ida调试,那么就需要进一步确定是什么反调方式了。


我很不赞同一个点,那就是无论什么apk有反调施就从零开始一步一步分析,不是不行是费时间。大可先从常见的反调手段入手。


4.1 IDA调试端口检测


读取/proc/net/tcp,查找IDA远程调试所用的23946端口,若发现说明进程正在被IDA调试。


反反调试:


更改IDA调式默认端口:

root@phone:/data/local/tmp # ./as_64 -p12346


附加程序关闭,要么就是不是检测这个,要么就是还有别的检测手段,继续分析。


4.2 特征文件检测


android_server 特征文件名检测,我这边已经更改过文件名,附加程序关闭,继续分析。


4.3 Tracepid 检测


安卓的native下,通过读取进程的status或stat来检测Tracepid ,它主要原理是调试状态下的进程Tracepid不为0。


当检测到Tracepid 不为0时,app会kill掉进程,从而达到反调试的目的。


一般情况下当 app 只有一个进程时,附加后程序不会立即退出,而是等待运行到相关退出函数时才会退出,原因很简单,只有一个进程时程序会断下但没办法继续往下执行,便不能够杀死自己,针对这种情况一般会 fork 出一个子进程,让子进程负责 kill 父进程,再优化便是父子进程相互检测是否被调试。


反反调试:


让Tracepid在调试的状态下,Tracepid 仍然为0,并且以为万一让kill失效,但能让 app 退出的函数并不止这一个。


编写hook代码:


function Tracepid() {
console.warn(".............")
var fgetsPtr = Module.findExportByName("libc.so", "fgets");
var fgets = new NativeFunction(fgetsPtr, 'pointer', ['pointer', 'int', 'pointer']);
Interceptor.replace(fgetsPtr, new NativeCallback(function (buffer, size, fp) {
var retval = fgets(buffer, size, fp);
var bufstr = Memory.readUtf8String(buffer);
if (bufstr.indexOf("TracerPid:") > -1) {
Memory.writeUtf8String(buffer, "TracerPid:\t0");
}
return retval;
}, 'pointer', ['pointer', 'int', 'pointer']));
var killptr = Module.findExportByName("libc.so", "kill");
var kill = new NativeFunction(fgetsPtr, 'int', ['int', 'int']);
Interceptor.replace(killptr, new NativeCallback(function (pid,sig) {
console.log("kill")
return 0;
}, 'int', ['int', 'int']));
}


frida 先执行hook代码后,ida进行附加调试,程序并不退出,反调试点就确定了,Tracepid值检测。





so 动态分析


ida 调试后,按G输入:


Java_com_yaotong_crackme_MainActivity_securityCheck,进行跳转,再定位到如图位置,按下tab键,查看汇编代码:




可以发现此处从原来的:wojiushidaan,变成了:aiyou,bucuoo。




输入字符:aiyou,bucuoo,跳到如下界面,破解成功:



此处还有一个坑,虽说破解成功,但使用ida进行调试时总是失败,仅可以附加查看信息,不可下断点进行调试。


最后找到原因时应为应用程序本身未开启debuggable权限,需要在AndroidMinifest.xml文件中添加android:debuggable="true"后进行重编译!



还有一个办法就是使用 mprop 工具修改 ro.debuggable 的值修改为 1,这个方法就是有个缺点,没此手机重启都需重新操作一边:


下载 mprop 工具:
https://github.com/wpvsyou/mprop,具体操作步骤如下:


adb push mprop /data/local/tmp # 将下载好的 mprop 工具放入 /data/local/tmp 当中
adb shell
su
cat default.prop | grep debug # 查看default.prop里面的配置值,此处是 0
getprop ro.debuggable # 获取ro.debuggable 此处应该是 0
cd /data/local/tmp
chmod 777 mprop # 修改权限
./mprop ro.debuggable 1 # 修改 ro.debuggable 1 的值为 1
cat default.prop | grep debug # 查看default.prop里面的配置值,此处是应该还是 0
getprop ro.debuggable # 获取 ro.debuggable 此处应该是 1


修改完成后,执行命令adb shell getprop | findstr debuggable查看手机的ro.debuggable参数值。


提示:[ro.debuggable]: [1] 即成功。

至此完结。





看雪ID:行简

https://bbs.kanxue.com/user-home-945390.htm

*本文为看雪论坛优秀文章,由 行简 原创,转载请注明来自看雪社区


# 往期推荐

1、在 Windows下搭建LLVM 使用环境

2、深入学习smali语法

3、安卓加固脱壳分享

4、Flutter 逆向初探

5、一个简单实践理解栈空间转移

6、记一次某盾手游加固的脱壳与修复




球分享

球点赞

球在看

文章引用微信公众号"看雪学苑",如有侵权,请联系管理员删除!

博客评论
还没有人评论,赶紧抢个沙发~
发表评论
说明:请文明发言,共建和谐网络,您的个人信息不会被公开显示。