zctf 2016 android writeup

本文为2016年zctf中android的writeup。

首先点我下载题目。使用jeb反编译，对username和password进行部分验证后，再将username+password及一个数据库查询结果（动态调试可知查询结果为zctf2016）作为Auth.auth()方法的参数，如果返回值为1则跳转到app页面。

进行算法还原，用户名是zctf，密码是{Notthis}。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

public class Main { public static void main(String[] args) throws Exception { byte[] v0 = new byte[64]; InputStream v3 = new FileInputStream("C:Usersgjm1993DesktopTestCTFReverseFinishCTF_200fileflag.bin"); do{ }while(v3.read(v0) > 0); v3.close(); String message = new String(decrypt(v0,"zctf2016")); System.out.println(message); } 大专栏  zctf 2016 android writeup - Jieming的博客e"> public static byte[] decrypt(byte[] src, String password) throws Exception { SecureRandom v3 = new SecureRandom(); SecretKey v4 = SecretKeyFactory.getInstance("DES").generateSecret(new DESKeySpec(password.getBytes())); Cipher v0 = Cipher.getInstance("DES/ECB/NoPadding"); v0.init(2, v4, v3); return v0.doFinal(src); } }

在oncreate方法中有两部分影响程序调试，在smali中修改可以绕过。

关键地方如下图所示，在sayHelloInc函数下断点进行动态调试。

动态调试时遇到问题：静态分析时在armeabi下的so下断，动态调试出现断点处汇编代码不同（图二的断点对应图一的断点）或断点处汇编代码是DCB指令（下图三）的情况。

解决方法：把lib下的armeabi-v7a和x86都删去，只保留armeabi。

分析sayHelloInc函数知{Notthis}作为DES密钥对拼接后的数据流进行解密，解密后马上释放解密后的内容。在free函数处下断点，数据存放在R0寄存器。

解密后的数据太长明显不是字符串，发现是png图片（头数据89 50 4E 47 0D 0A 1A 0A 00是标准的png格式），png格式结尾是AE 42 60 82，右键存为文件。

打开图片没有flag说明flag隐藏在图片中，用stegsolve查看图片中隐藏的flag。

---