Android 逆向 apkrev

題目鏈接：https://buuoj.cn/match/matches/28/challenges#apkrev

下載后解壓可得一個名為 apkrev 的 apk 文件，扔到模擬器里運行。

包含一個輸入框和一個按鈕，隨便輸入123，Toast 顯示 fail。使用 jeb 打開。

在 MainActivity 上右鍵反編譯。

可以看到，調用了 so 文件中的檢驗函數 myCheck()，參數為輸入的字符串。

IDA 分析 so 文件

把 so 文件（x86）扔進 IDA，并在函數窗口搜索 myCheck 函數，雙擊跳轉，F5，從返回開始看起：

返回值 v28 只在 136 行被賦值為 1，其余均為 0；

顯然，132 行的 while 循環是在比較輸入字符串經過一系列處理后是否與密文 enc 相同。v27 從 0 開始自增，直至大于 0x1F（即 31）時，循環結束。

先查看 enc：

用腳本將 enc 復制出來。在 IDA 中按快捷鍵 Shift + F2：

python 源碼：

from idaapi import *bytes_addr = 0x00033004bytes_size = 32data = get_bytes(bytes_addr,bytes_size)L = [hex(ch) for ch in data]print (L)# 真密文# ['0x8c', '0xc4', '0x0', '0xe6', '0x6a', '0x88', '0xb8', '0x90', '0xc2', '0x7', '0x6b', '0xa9', '0xc3', '0xa', '0x3e', '0xc0', '0x44', '0xa6', '0xfe', '0x7e', '0xf0', '0x59', '0x4c', '0x83', '0x3d', '0x2b', '0xe2', '0xd3', '0x38', '0xcb', '0x82', '0x5b']

繼續分析代碼可以看出，輸入字符串長度應為 32，且只在此處進行了異或操作：

于是考慮動態調試 so 文件，思路參考 [1]，調試方法參考 [2] 和 [3]。

思路：輸入錯誤的 flag，得到假密文，將錯誤的 flag 、假密文、真密文進行異或，即可得到真 flag。

動態調試

1、使用雷電模擬器，首先確定模擬器的安卓版本，安裝 device info hw.apk （ https://www.cr173.com/soft/845060.html ）查看相關信息： 

平臺為 android_x86，所以選擇 IDA/dbgsrv 目錄下的 android_x86_server 文件，使用 adb push 命令傳輸到模擬器，在添加可執行權限后運行。

2、新建 cmd 窗口，命令如下：

D:\IDA Pro\IDA Pro 7.5\dbgsrv>adb push android_x86_serveradb.exe: push requires an argument D:\IDA Pro\IDA Pro 7.5\dbgsrv>adb push android_x86_server /data/local/tmpandroid_x86_server: 1 file pushed, 0 skipped. 30.5 MB/s (1130104 bytes in 0.035s) D:\IDA Pro\IDA Pro 7.5\dbgsrv>adb shellaosp:/ # suaosp:/ # cd /data/local/tmpaosp:/data/local/tmp # lltotal 1104-rw-rw-rw- 1 root root 1130104 2020-12-11 22:18 android_x86_serveraosp:/data/local/tmp # chmod 777 android_x86_serveraosp:/data/local/tmp # ./android_x86_serverIDA Android x86 32-bit remote debug server(ST) v7.5.26. Hex-Rays (c) 2004-2020Listening on 0.0.0.0:23946...

3、再建一個 cmd 命令行窗口，使用 forward 程序進行端口轉發：

C:\Users\admin>adb forward tcp:23946 tcp:2394623946 C:\Users\admin>adb forward --listemulator-5554 tcp:23946 tcp:23946

4、打開 IDA，選擇菜單 Debugger -> Attach -> Remote Linux debugger；

Hostname 設置為 127.0.0.1，OK；

選擇要附加的進程，找到 com.example.re，OK；

進入調試界面后，在右側 Modules 窗口搜索需要調試的庫：libnative-test.so；

雙擊，跳轉到對應的 so 庫，即可看到 so 庫里的方法，搜索方法：myCheck()；

雙擊函數名，跳轉到對應的函數代碼，F5，與靜態分析看到的 myCheck 方法相同；

在比較處下斷：

5、開始調試：

注意，要求輸入字符串長度為 32，因此輸入：flag{11111111111111111111111111}；

程序在斷點處停下，先查看 enc：

再查看 v38（在棧上）：

通過 python 腳本復制：

from idaapi import *bytes_addr = 0xCFFFD6F8bytes_size = 32data = get_bytes(bytes_addr,bytes_size)L = [hex(ch) for ch in data]print (L)# 假密文#['0xdd', '0x9f', '0x58', '0xb3', '0x72', '0x80', '0xef', '0x96', '0xc1', '0x2', '0x3b', '0xfe', '0x97', '0xc', '0x39', '0x94', '0x43', '0xaf', '0xac', '0x78', '0xf8', '0x59', '0x4c', '0x84', '0x68', '0x2a', '0xe4', '0x86', '0x68', '0x9c', '0xd2', '0x13']

6、至此，可通過腳本計算出 flag：

enc = [0x8C, 0x0C4, 0x0, 0x0E6, 0x6A, 0x88, 0x0B8, 0x90, 0x0C2, 0x7, 0x6B, 0x0A9, 0x0C3, 0x0A, 0x3E, 0x0C0, 0x44, 0x0A6, 0x0FE, 0x7E, 0x0F0, 0x59, 0x4C, 0x83, 0x3D, 0x2B, 0x0E2, 0x0D3, 0x38, 0x0CB, 0x82, 0x5B] fake_flag = "flag{11111111111111111111111111}" fake_flag_cipher = [0xdd, 0x9f, 0x58, 0xb3, 0x72, 0x80, 0xef, 0x96, 0xc1, 0x2, 0x3b, 0xfe, 0x97, 0xc, 0x39, 0x94, 0x43, 0xaf, 0xac, 0x78, 0xf8, 0x59, 0x4c, 0x84, 0x68, 0x2a, 0xe4, 0x86, 0x68, 0x9c, 0xd2, 0x13] for i in range(32):    print(chr(ord(fake_flag[i])^fake_flag_cipher[i]^enc[i]), end='')# 7792c9f724afe76e68c79116d07dafa5

7、提交驗證：

over！