BugKuCTF 逆向 LoopAndLoop

1.

下载文件，发现是个APK文件，用模拟器装一下（这里我用的是BlueStack）。

随便输入几个数字，显示“Not Right”，应该是输入正确的密码就能获得flag，好的，我们打开JEB进行反编译。

2.

打开MainActivity，核心代码如下。

protected void onCreate(Bundle arg6) {
        super.onCreate(arg6);
        this.setContentView(017701000030);
        this.findViewById(0x7F0C0052).setOnClickListener(new View$OnClickListener(this.findViewById(0x7F0C0050), this.findViewById(0x7F0C0051), this.findViewById(0x7F0C0053)) {
            public void onClick(View arg7) {
                int v1;
                String v2 = this.val$ed.getText().toString();
                try {
                    v1 = Integer.parseInt(v2);
                }
                catch(NumberFormatException v0) {
                    this.val$tv1.setText("Not a Valid Integer number");
                    return;
                }

                if(MainActivity.this.check(v1, 99) == 0x6D6F1462) {  // 1835996258
                    this.val$tv1.setText("The flag is:");
                    this.val$tv2.setText("alictf{" + MainActivity.this.stringFromJNI2(v1) + "}");
                }
                else {
                    this.val$tv1.setText("Not Right!");
                }
            }
        });
    }

可以看到这段代码先对我们输入的字符串进行了检测，如果格式不对就抛出异常，这个暂且不用管。其后有一个判断，调用check方法将我们输入的值与99进行一番操作，如果返回值与1835996258相等就输出flag。好的，接下来看看check函数对我们的输入做了什么。

3.

由于check函数在native层，我们需要用IDA打开liblhm.so。找到它的位置，反编译后的代码如下：

int __fastcall Java_net_bluelotus_tomorrow_easyandroid_MainActivity_chec(int a1, int a2, int a3, int a4)
{
  int v4; // r4
  int v5; // r7
  int result; // r0
  int v7; // [sp+Ch] [bp-34h]
  int v8; // [sp+10h] [bp-30h]
  int v9; // [sp+14h] [bp-2Ch]
  int v10; // [sp+1Ch] [bp-24h]
  int v11; // [sp+20h] [bp-20h]
  int v12; // [sp+24h] [bp-1Ch]

  v9 = a2;
  v8 = a4;
  v4 = a1;
  v7 = a3;
  v5 = (*(int (**)(void))(*(_DWORD *)a1 + 24))();
  v10 = _JNIEnv::GetMethodID(v4, v5, "check1", "(II)I");
  v11 = _JNIEnv::GetMethodID(v4, v5, "check2", "(II)I");
  v12 = _JNIEnv::GetMethodID(v4, v5, "check3", "(II)I");
  if ( v8 - 1 <= 0 )
    result = v7;
  else
    result = _JNIEnv::CallIntMethod(v4, v9, *(&v10 + 2 * v8 % 3), v7, v8 - 1);
  return result;
}

看一看这段代码，当v8-1<=0时返回第一个参数，为终止条件，*(&v10 + 2 * v8 % 3)决定了调用三个check方法中的哪一个，当2*v8%3=0时调用check1，等于1时调用check2，等于2时调用check3，v7和v8-1为传入方法的变量。总结一下，基本流程为传入两个值，第一个值是我们的输入值，通过调用不同的方法后改变其数值；第二个值初始值为99，用来控制流程终止以及判断调用check1，check2，check3中的哪一个函数，每次调用时第二个值都减1，当返回值等于1835996258时输出flag。

4.

知道基本逻辑后，我们可以写出算法求解答案了。

#include <bits/stdc++.h>

using namespace std;

int main()
{
	long long num=99;
	long long flag=1835996258;
	while(num-1>0)
		{
			long long tmp=num*2%3;
			if(tmp==0)
				for(long long i=0;i<100;i++)
					flag-=i;
			if(tmp==1)
				if((num-1)%2==0)
					for(long long i=0;i<1000;i++)
						flag-=i;
				else
					for(long long i=0;i<1000;i++)
						flag+=i;
			if(tmp==2)
				for(long long i=0;i<10000;i++)
					flag-=i;
			num--;
		}
	cout<<flag<<endl;
	return 0;
}