bugku-逆向-5、Timer

最新推荐文章于 2024-05-16 10:06:36 发布
原创 最新推荐文章于 2024-05-16 10:06:36 发布 · 6.4k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#android #安卓逆向 #CTF #java
通过对一款计时器APP的反编译及代码分析,揭示了其内部工作原理,并成功解析出隐藏的flag,详细介绍了如何计算关键参数k及获取最终答案。

下载下来,是一个apk文件,就是安卓手机软件的安装包,先把它安装看一下:
在这里插入图片描述

只有一个界面,上面有个200000在倒计时,应该是等时间到了,就会显示flag。
接下来我们反编译,可以自己逐步解压缩,用apktools、dex2jar转化为jar包,也可以直接用集成工具打开
刚开始用JAD打开jar包,查看到的.class文件的代码是这样子的:
在这里插入图片描述

public class MainActivity
  extends AppCompatActivity
{
  int beg = (int)(System.currentTimeMillis() / 1000L) + 200000;//之前的当前时间+200000
  int k = 0;
  int now;
  long t = 0L;
  
  static
  {
    System.loadLibrary("lhm");
  }
  
  public static boolean is2(int paramInt)
  {
    boolean bool1 = true;
    boolean bool2;
    if (paramInt <= 3) {
      if (paramInt > 1) {
        bool2 = bool1;
      }
    }
    for (;;)
    {
      return bool2;
      bool2 = false;
      continue;
      if ((paramInt % 2 != 0) && (paramInt % 3 != 0)) {
        break;
      }
      bool2 = false;
    }
    for (int i = 5;; i += 6)
    {
      bool2 = bool1;
      if (i * i > paramInt) {
        break;
      }
      if ((paramInt % i == 0) || (paramInt % (i + 2) == 0))
      {
        bool2 = false;
        break;
      }
    }
  }
  
  protected void onCreate(final Bundle paramBundle)
  {
    super.onCreate(paramBundle);
    setContentView(2130968600);
    final TextView localTextView1 = (TextView)findViewById(2131492944);
    final TextView localTextView2 = (TextView)findViewById(2131492945);
    paramBundle = new Handler();
    paramBundle.postDelayed(new Runnable()
    {
      public void run()
      {
        MainActivity.this.t = System.currentTimeMillis();
        MainActivity.this.now = ((int)(MainActivity.this.t / 1000L));//当前时间的秒数(毫秒/1000)
        MainActivity.this.t = (1500L - MainActivity.this.t % 1000L);
        localTextView2.setText("AliCTF");
        if (MainActivity.this.beg - MainActivity.this.now <= 0)
        {
          localTextView1.setText("The flag is:");
          localTextView2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this.k) + "}");
        }
        MainActivity localMainActivity;
        if (MainActivity.is2(MainActivity.this.beg - MainActivity.this.now)) {
          localMainActivity = MainActivity.this;
        }
        for (localMainActivity.k += 100;; localMainActivity.k -= 1)
        {
          localTextView1.setText("Time Remaining(s):" + (MainActivity.this.beg - MainActivity.this.now));//剩下的时间是:
          paramBundle.postDelayed(this, MainActivity.this.t);
          return;
          localMainActivity = MainActivity.this;
        }
      }
    }, 0L);
  }
  
  public boolean onCreateOptionsMenu(Menu paramMenu)
  {
    getMenuInflater().inflate(2131558400, paramMenu);
    return true;
  }
  
  public boolean onOptionsItemSelected(MenuItem paramMenuItem)
  {
    if (paramMenuItem.getItemId() == 2131492959) {}
    for (boolean bool = true;; bool = super.onOptionsItemSelected(paramMenuItem)) {
      return bool;
    }
  }
  
  public native String stringFromJNI2(int paramInt);
}

主要的函数的逻辑就是时间从200000秒开始逐秒减少计时,每减少一秒,就判断一下之前的时间beg减当前的时间now是否小于等于0,这里的beg=之前的当前时间+200000,所以判断条件也就是从之前到现在是否过了200000秒,过了200000就输出flag。
flag是由

localTextView2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this.k) + "}");

这行代码输出的,其中stringFromJNI2函数是Native层的函数,所以我们主要就是先算出它的实参k,这是下面和k有关的代码:

if (MainActivity.is2(MainActivity.this.beg - MainActivity.this.now)) {
          localMainActivity = MainActivity.this;
        }
        for (localMainActivity.k += 100;; localMainActivity.k -= 1)
        {
          localTextView1.setText("Time Remaining(s):" + (MainActivity.this.beg - MainActivity.this.now));//剩下的时间是:
          paramBundle.postDelayed(this, MainActivity.this.t);
          return;
          localMainActivity = MainActivity.this;
        }

但它的实参k我开始看了半天都不知该怎么算出来,然后把k转换成flag。后来我换了两个打开class文件的软件:
在这里插入图片描述

发现打开的.class文件反编译出来的代码竟然不一样:
在这里插入图片描述

主要就是对k的值的计算的代码不一样了:

if(MainActivity.is2(beg - now))
                {
                    MainActivity mainactivity = MainActivity.this;
                    mainactivity.k = mainactivity.k + 100;
                } else
                {
                    MainActivity mainactivity1 = MainActivity.this;
                    mainactivity1.k = mainactivity1.k - 1;
                }

所以现在程序的逻辑就是时间从200000到0,每一秒钟判断当前的时间过去了多久,然后判断MainActivity.is2(beg - now),之后对k进行一次计算。最后时间到0的时候,k也计算出了一个值,用k作实参输入stringFromJNI2(k)函数计算出flag。
我们要得到flag就要先算出时间到0时k的值,直接按照反编译出来的代码计算k的值:

Timer.java

/**
 * 文件注释:
 *
 * @auther: Legends
 * @Date: 2018/9/21 09:19
 * @Description:
 */
public class Timer {
    public static void main(String[] args) {
        int k = 0 ;
        for(int i = 200000 ; i > 0 ; i-- ){
            if (is2(i)) {
                k += 100;
            } else {
                --k;
            }
        }
        System.out.println(k);
    }

    public static boolean is2(int var0) {
        if (var0 <= 3) {
            if (var0 <= 1) {
                return false;
            } else {
                return true;
            }
        } else if (var0 % 2 != 0 && var0 % 3 != 0) {
            for(int var1 = 5; var1 * var1 <= var0; var1 += 6) {
                if (var0 % var1 == 0 || var0 % (var1 + 2) == 0) {
                    return false;
                }
            }
            return true;
        } else {
            return false;
        }
    }
}

运行结果:
在这里插入图片描述

得到的k的值为:1616384。接下来的flag就是把k=1616384作为实参输入stringFromJNI2(k)函数即可计算出flag。
这时候有两种思路:
1、一种是复现stringFromJNI2(k)函数,再按部就班的计算出flag。
2、另一种是修改apk中k的值,把k的值修改为1616384,让软件自己计算出flag显示出来。

方法1先用IDA打开反编译出来的lib文件夹下面armeabi文件夹的liblhm.so:armeabi是指Android 设备的CPU类型,文件夹下用来存放.so库,主要针对不同的设备兼容,也可以说是专门针对不同Android手机下CPU架构的兼容。不同版本的so文件反编译的结果可能不同。
• mips / mips64: 极少用于手机可以忽略
• x86 / x86_64: x86 架构的手机都会包含由 Intel 提供的称为 Houdini 的指令集动态转码工具,实现 对 arm .so 的兼容,再考虑 x86 1% 以下的市场占有率,x86 相关的两个 .so 也是可以忽略的
• armeabi: ARM v5 这是相当老旧的一个版本,缺少对浮点数计算的硬件支持,在需要大量计算时有性能瓶颈
• armeabi-v7a: ARM v7 目前主流版本
• arm64-v8a: 64位支持
再IDA找到Java_net_bluelotus_tomorrow_easyandroid_MainActivity_stringFromJNI2函数:
在这里插入图片描述

发现打开的stringFromJNI2函数十分复杂,调用的函数也很多,所以这种方法并不是一种好的解题思路,于是我们采用方法2。

首先是要先通过逻辑判断MainActivity.this.beg - MainActivity.this.now <= 0,才能输出flag,这里就可以把beg的值改小200000、把now的值改大200000、把<=0改成>=0或者把整个判断去掉都行。我们这里就直接把beg加上的200000改成0了:
在这里插入图片描述

0x30d40=200000,上面就是int beg = (int)(System.currentTimeMillis() / 1000L) + 200000;的smili代码;我们把0x30d40改为0就可以让判断MainActivity.this.beg - MainActivity.this.now <= 0一直成立了。
在这里插入图片描述

之后再找到

localTextView2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this.k) + "}");

这一行的smali代码:
在这里插入图片描述

在iget v3, v3, Lnet/bluelotus/tomorrow/easyandroid/MainActivity;->k:I(读取int型k到v3(第一个v3),v3(第二个v3)寄存器中是 Lnet/bluelotus/tomorrow/easyandroid/MainActivity实例的引用,I表示int型),再下一行加上const v3,0x18aa00把k的值一直赋值为1616384 = 0x18aa00,smali代码的int型变量默认都是16进制,就算改成1616384,它编译之后也会自己改成0x18aa00。之后每次就能计算显示正确的flag:
在这里插入图片描述

之后保存全部,编译生成apk,安装,运行:
在这里插入图片描述

flag果然显示出来了:alictf{Y0vAr3TimerMa3te7}。上面的Time Remaining(s):-3是因为我们把beg从当前时间+200000改成了当前时间,所以之后每过一秒就会-1。

bugku逆向练习:Timer(阿里CTF)与逆向入门--沙窝里
weixin_43600412的博客
09-15 859
1. Timer (阿里CTF) 一道安卓逆向题,以前没遇见过,并且没有工具!心中飘过一句mmp…还是先请教一下别人吧 先安装一个apk反编译工具,再安装安卓助手,缺一不可! 将其拖入反编译工具,得知这一道安卓题大致意思是过二十万秒后给出flag,一万头草泥马奔腾而过。。。。。。 关键代码如下,可以写个脚本模拟过完二十万秒,输出k, public class text { public sta...
BugkuCTF-Reverse题Timer(阿里CTF)
am_03的博客
08-27 930
知识点 JEB相当于Windows平台上的IDA smali代码:双击Bytecode,出现smali代码;相较于C之汇编,那么smali之于Java onCreate: 一个activity启动回调的第一个函数就是onCreate,这个函数主要做这个activity启动的一些需要的初始操作的工作。 onCreate之后调用了还有onRestart()和onStart()等。 解题流程 下载apk包 apk安装之后出现一个读秒的,20万秒,大于3600,所以大于一个小时,所以太慢了,不等了。 jeb反编译
BugKUTimer(阿里CTF);打包,签名
s0il的博客
04-21 962
题目描述: 给了一个Android的apk文件 安卓上安装一下,运行截图: 由运行截图可以看出,这个程序是要求把时间耗尽,才会出flag,所以思路是修改时间(找到数字200000)。 首先ApkTool先解包一下: ...
Timer--bugkuCTF
有人_295的博客
04-14 785
这是一道关于安卓的反编译题,题目为时间,可能是一个提示,我这次用到了jadx、jeb、apktool软件。 首先用手机下载下来打开,发现有个数值在跳动,200000,难道是要等200000秒就会得到flag,但是时间不允许。 网上找了很多反编译软件,但是最后实用型还是jadx比较简单,直接拉入就可以得到反编译的Java伪代码,发现代码就是要200000时才得到flag,判断值为K,于是我就想改变k...
[BUGKU] [REVERSE] Timer
Stan冲冲冲
05-30 420
[BUGKU] [REVERSE] Timer 先拉进安卓模拟器,发现是倒计时200000秒,应该是倒计时变零就会出现flag,但是200000太大了,得等好几个小时,故逆向 首先PKID查壳,发现无壳 然后拉进JEB2,查看入口MainActivity的反编译 名称:Timer 包名:net.bluelotus.tomorrow.easyandroid 入口:net.bluelotus.tomorrow.easyandroid.MainActivity package net.bluelotus.t
带你上分,顺便拿下CTFBugKu 逆向分析
baimao__Ch的博客
05-16 1197
将文件直接IDA分析发现有一大串mov,后面的flag的16进制表示,下进行 进制转换,输入内容,得到的转换结果,即为flag:flag{Re_1s_S0_C0OL}
Bugku 逆向WP(1)
John_lain的博客
11-10 2262
文章目录Bugku 逆向入门逆向Easy_vbEasy_Re游戏过关Timer(阿里CTF)逆向入门loveLoopAndLoop(阿里CTF)easy-100(LCTF) Bugku 逆向 2018-11-7 19:05:10 今天开始刷题了. 入门逆向 题目非常简单.用IDA直接看汇编代码,会发现printf函数后面有很多mov指令,这里就是flag. 建议不要直接F5,因为F5后看不到mov...
BUGKU-逆向(reverse)-writeup
ahilll的博客
12-04 3652
目录 入门逆向 Easy_vb Easy_Re 游戏过关 Timer(阿里CTF) 逆向入门 love LoopAndLoop(阿里CTF) easy-100(LCTF) SafeBox(NJCTF) Mountain climbing 前言:在bugku上把能写的逆向都写了,由于大佬们的writeup太深奥或者说太简洁了让我(小白)看得云里雾里。所以我写了这个详细点的writeup(理解错的地方...
BUGKU三道简单的reverse题目
The end
03-28 1375
文章目录Hello Smali2树木的小秘密NoString Hello Smali2 下下来有一个java文件 最简单的方法 既然给了源码,编译一下直接运行即可 树木的小秘密 下下来是一个这样的程序 拖到查壳工具里面看看 发现是一个py程序 用archive_viewer.py提取生成的exe中的pyc文件 使用x提取123和struct文件 由于pyc文件都有一个magic head,pyinstaller生成exe的时候会把pyc的magic部分去掉,在反编译的时候需要自己补齐 ,这个可以
Bugku——Timer(阿里CTF)
王嘟嘟的博客
04-09 3082
0x00 前言 导航:https://blog.csdn.net/qq_36869808/article/details/83377360 本来说是一道Android 题,想去分析一下so的,但是最后发现,还是太天真的。 0x01 正文 使用jeb打开App。可以看到这里是主要的地方。 这里调用了is2这个方法,并且对k值进行了操作,所以,这里的k值应该就是关键的地方了,只要知道k值,什么都好说...
bugku-逆向-Timer(阿里CTF)(我的第一个Android逆向)
Sea_Sand息禅
06-16 1175
使用jeb进行反编译成java代码,MainActivity为程序的入口,首先对这个部分进行查看,找到了输出flag的地方。 对程序进行分析 this.beg = (((int)(System.currentTimeMillis() / 1000))) + 200000;beg为一个定值,在上面代码的run()函数中,k是可以变化的 MainActivity.this.t = System.cu...
CTFBugku Timer
weixin_41607190的博客
07-23 406
第一次做安卓逆向,弟中弟,什么都不懂,看着大佬的writeup实现了 分析 先弄个android的模拟器 要你等20W秒 不等,思路是直接让他跳到20W秒之后的情况 现在要两个软件 jeb和andriod killer jeb可以看看这个文章 https://www.52pojie.cn/thread-722648-1-1.htmljava版本要1.8.0-121 andriod killer直...
Bugku Timer(阿里CTF)
qq_18823653的博客
02-28 1414
这是一道安卓题,大致意思是过二十万秒后给出flag,关键代码如上,可以写个脚本模拟过完二十万秒,输出k, package com.test; public class text { public static void main(String[] args) { int k = 0; for(int time =200000;time&gt;0;time-...
汇编逆向-Qt
xinqingwuji的博客
12-12 5123
自定义破解入门
Bugku逆向题目解析
北观止的博客
07-31 2065
Bugku逆向 2018年11月27日 10:37 1.入门逆向 拖入IDA分析 发现有一大串mov,后面的 66h 6ch 61h 67h 为ASCII字符:flag,的16进制表示,下进行 进制转换 https://www.rapidtables.com/convert/number/hex-to-ascii.html 66h6ch61h67h7BH52H65H5FH31H73H5FH53H30H5FH43H30H4FH4CH7DH 得到flag flag{Re_1s_S0_C0OL} 2.Easy_v
Bugku 逆向(reverse)
Anqi__的博客
01-13 1722
Bugku 逆向(reverse) 小菜鸡从今天开始要做bugku啦,本文记录一下做过的bugku逆向题目,希望这个假期可以进步一点点~~ 入门逆向 ida载入查看main函数,双击后看到一长串十六进制数,按r快捷键转为字符,得到flag。 Easy_Re 查壳,无壳 运行一下得到的exe程序,发现是简单的校验flag是否正确,flag应藏在程序中。 shift+f12查看字符串,发现flag get 应为得到flag的入口,双击进入后右键同步到16进制视图,得到flag。 或者查找字符
Bugku——入门逆向
王嘟嘟的博客
04-08 1787
0x00 前言 这个题一直没看懂。。。直到今天 0x01 前言 打开ida,看到这个。感觉没有利用,我的第一个错觉就是去点那个_main()。 看到的是这个样子的,继续往下走无果,没有看到重要信息。 打开od看看。使用F8找到main函数入口处,然后看到打印了这串字符,这里有一个非常可以的东西。这一串的mov。 ida打开。 然后R一下,这里的R指的就是字符转换。 拿到flag。 0x0...
2021-01-24
keilaien的博客
01-24 718
Bugku-CTF-阿里Timer 可以先拖到模拟器里面去看看效果 等200000秒,有时间的可以尝试一下 拖进androidkiller里面看下 这就是smali代码,就相当于一种新的语言。看不懂也不要紧,点击java标志就可以切换为java代码。 第一张图片中beg = (int)(System.currentTimeMillis() / 1000L) + 200000; 这就和之前的200000秒对上了 oncreat就是函数的入口 注意run函数下的三行代码 MainActivity.thi
android 逆向(bugkuctf)
wanan的博客
01-24 1993
android 逆向(bugkuctf)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值