從0-1 - 一道Android題目逆向動態調試
VSole2022-11-28 11:06:30
題目來源于海淀區網絡與信息安全管理員大賽,題目中將加密驗證算法打包進.so,在程序中動態調用check。
本題目通過System.loadLibrary("native-lib")加載了libnative-lib.so文件,該文件通過jeb可以實現提取
圖1 題目關鍵代碼
調試環境選擇與配置
- ? mumu模擬器 x64位版本,測試后發現sprintf會導致程序崩潰
- ? 夜神模擬器x64,x32的版本經過測試后,sprintf均導致程序崩潰
- ? 雷電5模擬器測試后,sprintf導致程序崩潰,動態調試libnative-lib.so時,且無法下載libart.so
- ? 最終選用 mumu x32位版本可以進行調試
- ? 動態調試選用IDA+MUMU x86模擬器對動態庫libnative-lib.so調試
調試環境
adb的基礎配置
- ? mumu模擬器使用的adb為adb_server.exe,這里將adb_server.exe為便于使用重新命名為adb.exe,打開一個cmd終端,adb 接入模擬器中
adb connect 127.0.0.1:7555
圖2 adb 服務端連接
- ? 通過adb 將apk 包安裝進安卓的模擬器
adb install test.apk
- ? 通過cmd再打開一個終端,通過adb shell可以直接進入到模擬器shell中
圖3 adb shell連接
應用程序的配置
- ? 在新起的cmd終端,通過動態調試模式來啟動app
./adb shell am start -D -n com.example.dynamic/.MainActivity
- ? android包實際的packet以及類如下圖所示com.example.dynamic/.MainActivity
圖4 adb 啟動程序分析
- ? 運行
adb shell am start命令后,mumu模擬器中如圖5所示
圖5 adb 動態調試程序
IDA 的配置
- ? 上傳IDA的動態服務端android_x86_server到模擬器/data/local/tmp中,tmp文件夾是具有可執行權限的
./adb push android_x86_server /data/local/tmp
圖6 查看tmp文件夾權限
- ? 賦予android_x86_server可執行權限
chmod +x android_x86_server
- ? 執行android_x86_server,會監聽23946端口,但是仍需要通過adb進行端口轉發轉發到本地監聽
./adb.exe forward tcp:23946 tcp:23946
圖7 啟動IDA 調試server端
- ? 通過以上步驟使啟動服務端IDA的監聽
- ? 配置本地IDA remote linux debug參數,如圖8所示
圖8 配置IDA動態調試
- ? 通過attach process 打開遠程端的進程
圖9 IDA遠程attach
- ? 選擇對應的進程,這里選用1535進程
‘
圖10 附加到指定進程
- ? 通過以上步驟,將IDA 服務端和.so文件關聯到一起,仍需要喚醒被調試的程序,此時mumu模擬器中仍舊如圖11所示
圖11 dynamic程序界面
- ? 通過jdb來喚醒被調試程序,本機調試的時候jdb使用java sdk自帶的jdb,需要兩步操作
- ? 通過adb將進程進行轉發,進程號是圖n中所示的1535
./adb forward tcp:8700 jdwp:1535
- ? 通過jdb喚醒操作
jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
- ? 再回到IDA中,選擇F9繼續運行程序,會彈出框選擇本地程序與遠程是否一樣選項框,主要匹配的是動態庫libnative-lib.so這個名字
圖12 IDA提示檢測到本地.so
- ? IDA中斷點斷在ptrace前,mumu模擬器中界面未完全同步
圖13 附加到調試進程后,dynamic界面
- ? IDA中界面如下
圖14 IDA中顯示斷點
.so的調試
反調試繞過
- ? 該.so使用了ptrace 反調試,在ptrace處設置斷點,下斷點的時候有兩種方案
- 1. 一種是設置IDA 的調試調試,設置載入lib的時候suspend
圖15 IDA調試選項配置
- ? 當看到IDA中載入libnative-lib.so時,通過快捷鍵Ctrl-S打開加載的段,查找libnative-lib.so所在內存1
圖16 查看IDA中的代碼段
- ? 還可以在模擬器shell中,查看具體的內存信息
圖17 adb shell中查看內存中的數據地址分布
- ? 在動態調試的過程中,重置ptrace 的返回值,繞過該處反調試
圖18 重置eax的值
可以直接右鍵或者在eax寄存器上使用快捷鍵0重置
- ? 另外一種方式是直接在ptrace上下斷點,在調試的時候當IDA彈窗如圖17所示時,程序會直接斷在ptrace斷點處。如果沒有彈出該彈窗,直接在IDA中分析該so時下的斷點無效。
image-20221125160753773
圖19 重置eax的值
注冊native的方法
- ? 在 Native文件中代碼如下
static JNINativeMethod jniMethods[] = {
{"check", "(Ljava/lang/String;)Z", (void *)hello},
};
boolean xxxx( char* s) {
// do something
return JNI_TRUE;
}
#在JNI_OnLoad中調用RegisterNatives方法注冊Natives方法到JVM,建立映射關系。
int JNI_OnLoad(JavaVM *vm, void *reserved)
{
JNIEnv *env;
if ((*vm)->GetEnv(vm, (void **)&env, JNI_VERSION_1_4) != JNI_OK) {
return JNI_ERR;
}
jclass cls = (*env)->FindClass(env, "LHelloJNI");
if (cls == NULL)
return JNI_ERR;
int len = sizeof(jniMethods) / sizeof(jnimethods[0]);
(*env)->RegisterNatives(env, cls, jniMethods, len);
return JNI_VERSION_1_4;
}
check 函數的定位
- ? 在apk文件中,反編譯后可以看到check函數位于libnative-lib.so中,但是libnative-lib.so中并沒有check函數
圖20 查找check函數
- ? Java調用.so庫函數可以通過靜態注冊和動態注冊兩種方式,題目通過動態注冊的方式來對函數進行調用
- ? 在上圖中methods一列,是一個JNINativeMethod的數組,JNINativeMethod結構包含三個成員
const char \*name: Java中聲明的native方法。 const char \*signature:方法的簽名。 void \*fnPtr: 函數指針
- ? 在題目的methods中,check字符串,對應的函數指針為_Z4xxxxP7_JNIEnvP8_jobjectP8_jstring ; xxxx(_JNIEnv *,_jobject *,_jstring *)也就是xxxx函數。
圖21 定位check函數
MD5的簡單調試
- ? MD5_init的過程如下,根據初始值可以大概判定題目通過md5算hash值
*(_OWORD *)v63 = xmmword_B2E6FA40; .rodata:B2E6FA40 xmmword_B2E6FA40 xmmword 1032547698BADCFEEFCDAB8967452301h
- ? 經過fff函數轉換后的md5值放入[esp+0B4]中
.text:B2E51040 8D 84 24 B4 00 00 00 lea eax, [esp+0B4h] .text:B2E51047 89 44 24 04 mov [esp+4], eax .text:B2E5104B 8D 44 24 58 lea eax, [esp+58h] .text:B2E5104F 89 04 24 mov [esp], eax .text:B2E51052 E8 A9 E7 FF FF call __Z4ffffP7MD5_CTXPh ; ffff(MD5_CTX *,uchar *)
- ? 讀取[esp+0xB4]的值
Python>esp=get_reg_value('esp')
Python>data=get_bytes(esp+0xb4,16)
Python>data.hex()
'a82e0cb168bfe134f22dbde167cf046c'
- ? 通過python計算wojiushidaan0!!!的md5值為
>>> import hashlib
>>> result=hashlib.md5("wojiushidaan0!!!".encode())
>>> result
object @ 0x00000167FF8BDEF0>
>>> result.hexdigest()
'a82e0cb168bfe134f22dbde167cf046c'
- ? 兩者可以對應起來,題目計算了wojiushidaan0!!!的md5值
- ? 程序最終經過memcmp比較的時候的值為
.text:B2F11398 89 54 24 08 mov [esp+8], edx .text:B2F1139C 8B 44 24 14 mov eax, [esp+14h] .text:B2F113A0 89 44 24 04 mov [esp+4], eax ; s2 .text:B2F113A4 89 0C 24 mov [esp], ecx ; s1 .text:B2F113A7 E8 84 E4 FF FF call _memcmp
- ? 提取eax的值為
b'c640fc761edbd22f431efb861bc0e28a'
- ? 提取ecx的值為
b'12345678123456781234567812345678'
- ? 程序的輸入為
圖22 調試flag結果
- ? 推導可知題目的正確輸入為
flag{c640fc761edbd22f431efb861bc0e28a}
圖23 驗證flag結果
- ? 在調試md5的時候,使用了IDA的上色功能,通過單步步過調試,給執行過的代碼染色
- ? IDAPro 單步步過上色調試腳本
def get_new_color(current_color): colors = [0xffe699, 0xffcc33, 0xe6ac00, 0xb38600] if current_color == 0xFFFFFF: return colors[0] if current_color in colors: pos = colors.index(current_color) if pos == len(colors)-1: return colors[pos] else: return colors[pos+1] return 0xFFFFFF addr = ida_dbg.get_ip_val() while addr < 0xB2ED241F: event = wait_for_next_event(WFNE_ANY, -1) t = step_over() addr = ida_dbg.get_ip_val() current_color = get_color(addr, CIC_ITEM) new_color = get_new_color(current_color) set_color(addr, CIC_ITEM, new_color)
#https://www.cnblogs.com/blacksunny/p/7300271.html參考trace 修改的step over
有待改進的地方
- ? 繞過反調試依賴于動態調試時的修改寄存器實現
本文涉及的命令
```shelladb connect 127.0.0.1:7555adb install test.apk ./adb shell am start -D -n com.example.dynamic/.MainActivity./adb push android_x86_server /data/local/tmp./adb.exe forward tcp:23946 tcp:23946./adb forward tcp:8700 jdwp:1535jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700 ```
VSole
網絡安全專家