文章目录
一.程序逻辑分析
onCreate方法中判断SDK版本是否>=27
然后创建两个线程
第一个线程是接受输入的字符串并发送出去
第二个线程用于接受数据
线程1,就是将字符串转为字节数组发送出去
线程2,作为服务端接受数据并进行处理
二.线程2的operate方法解析
这部分主要是用于混淆的代码,很多没有实际作用
有一个方法是根据buffer来截取后一段数据,照着程序逻辑分析可以得出buffer分三段,一段是下标0~3,中间一段是topic(stringData),最后一段是messageData
不过这里都不是很重要可以直接忽略
主要在于check方法,跟进可以发现是aes加密
不过要注意这里的base64换了表,并且填充符不是’=‘而是’^’
解密:
- base64解密
import base64
str1 ="UGCA3QBFjPnlAZ6-NbV2Ca=="#将^替换为==即可
string1 ="abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ-+"#换表
string2 ="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"bytes=base64.b64decode(str1.translate(str.maketrans(string1,string2)))
value=int.from_bytes(bytes,byteorder='big')print(hex(value))#得到base64解密后的16进制数据0xe2a9a477496927334b93d83ec41e5c98
- aes解密
不过很不幸这里是假的flag
三.找出真flag
可以发现apk文件的assets目录下有一个bin文件,但是不知道具体内容是什么
MainActivity这里也导入了一个库,那么很有可能是这里做了些手脚
stringFromJni是默认的,没有什么特殊操作
JNI_Load里面有不少函数调用,笨方法逐个查看
这个sub_21868就是关键函数了,跟进之后也可以找到打开asset.bin文件的操作(这里如果用字符串查找会更快)
再往下看可以看到"goodluck"字符串,这可能是加密密钥,跟进之后可以发现是一个rc4加密
到这里可以大概看出是将asset.bin文件打开后进行rc4解密
解密asset.bin文件:
defrc4(data, key):
S =list(range(256))
j =0
out =[]# KSAfor i inrange(256):
j =(j + S[i]+ key[i %len(key)])%256
S[i], S[j]= S[j], S[i]# PRGA
i = j =0for char in data:
i =(i +1)%256
j =(j + S[i])%256
S[i], S[j]= S[j], S[i]
out.append(char ^ S[(S[i]+ S[j])%256])returnbytes(out)# Read the encrypted filewithopen('asset.bin','rb')as f:
encrypted_data = f.read()# Decrypt the data
decrypted_data = rc4(encrypted_data,b'goodluck')# Write the decrypted data to a new filewithopen('decrypted_file','wb')as f:
f.write(decrypted_data)
解密后的文件可以看到dex的标识
将解密后的dex文件用jadx打开,可以发现大部分逻辑还是和之前的结果一样,最主要的差别就是check函数不同,这里是rc4加密和rc4最后调用的base64加密
解密:
- base64解密
import base64
str1 ="SSro3CogRALMhCnQRBDyWa=="
string1 ="abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ-+"
string2 ="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"bytes=base64.b64decode(str1.translate(str.maketrans(string1,string2)))
value=int.from_bytes(bytes,byteorder='big')print(hex(value))#0xdb644e766386d64bf01e6374d659d8e8
2.rc4解密
输出结果有乱码,将输出结果设置为16进制,然后用16进制转字符串网站即可
根据题目提示最终flag是md5(flag{ikjnmkjh±$})
版权归原作者 OrientalGlass 所有, 如有侵权,请联系我们删除。