bugku_MagicImageViewer
CTF 安卓逆向
MagicImageViewer——png结构+算法
很少做安卓逆向的题目,在此记录一下
先用模拟器看一下

嗯,没啥提示。
jeb打开

关键部分
if(s.length() == 16) //输入的字符串长度为16
String s1 = MainActivity.this.getKey(s); //该方法获得s1,getKey()在native层
Bitmap bitmap0 = MagicImageUtils.readMagicImage(MainActivity.this, "png/encrypt_png.dat", s1);
// MagicImageUtils.readMagicImage是Java层的方法
先看getKey()

关键部分
strcpy(v5, "Welcome_to_sdnisc_2018_By.Zero");
v13[i] = *(v7 + 2 * i) ^ v5[i - 30 * (v9 / 30)];
2*i比较怪,是什么呢?我们查一下JNI的GetStringChars方法,由参考链接1可知它返回的是Unicode格式的char*,所以2字节算一个字符**
v5[i - 30 * (v9 / 30)这个就是v5[i]
就是对输入的字符串进行异或(前16位)
接着看MagicImageUtils.readMagicImage

关键部分
int v1 = inputStream0.read();//读取路径文件
arrayList0.add(Byte.valueOf(((byte)MagicImageUtils.decrypt(v1, ((char)s1.charAt(v % 16))))));
//decrypt() 在native层

也是个异或
接着往下看可以发现,后面生成了图片,也就是对于加密后的图片数据,解密为图片
输入s,s与v5异或得到s1,s1,路径文件异或生成内容转化,图片。
但是png图片的前16位是固定的,所以很容易解出来。
goal = b'\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52' //png图片的前16 位
key_s = 'Welcome_to_sdnisc_2018_By.Zero'
ans = ''
with open('encrypt_png.dat', 'rb') as f:
dat = f.read(16)
for i in range(16):
v = (dat[i] - 1) ^ 0x61 ^ goal[i] ^ ord(key_s[i])
ans += chr(v)
print(ans)
输出 XaE3*2#@!qV^v+_.
验证:

得到flag。
此时可以更为有趣的写出png(刚开始没想到)
此时
没看懂getKey也能过这题。
作者贴心地提供了一个正常图片的处理函数MagicImageUtils.readImage。
此时会出现dat=0的情况,所以加了验证
goal = b'\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52'
def b(v):
return v if v >= 0 else 0xff
with open('encrypt_png.dat', 'rb') as f:
dat = f.read()
_key = b''
for i in range(16):
_key += (b(dat[i] - 1) ^ 0x61 ^ goal[i]).to_bytes(length=1, byteorder='big', signed=False)
with open('flag.png', 'wb') as f:
for i in range(len(dat)):
f.write((b(dat[i] - 1) ^ 0x61 ^ _key[i & 0xf]).to_bytes(length=1, byteorder='big', signed=False))

flag{y0ur'r3_g00d_aT_4ndr01d}
参考链接:
https://www.cnblogs.com/lijunamneg/archive/2012/12/22/2828891.html
https://www.52pojie.cn//thread-1665541-1-1.html
随机推荐
- ArcMap将Python写的代码转为工具箱与自定义工具
本文介绍在ArcMap软件中,通过已有的Python脚本程序,建立新的工具箱并在其中设置自定义工具的方法. 通过本文介绍的操作,我们便可以实现将自己的Python代码封装,并像其他ArcGIS ...
- python3常用模块和方法
1.使用索引反转字符串 str="hello" print(str[::-1]) 2.zip函数获取可迭代对象,将它们聚合到一个元组中,然后返回结果.语法是zip(*iterabl ...
- PyQt5学习 (3)--QWidget(下)
层级关系.层级控制: 调整Z轴顺序 点击查看代码 label1 = QLabel(window) label1.setText("标签1") label1.resize(200, ...
- idea 热部署插件JRebel
idea 热部署插件JRebel 当开始开发web项目的时候,需要频繁的修改web页面,此时如果频繁的重启变得很麻烦,因此,可以在idea中集成JRebel插件,改动代码之后不需要重新启动应用程序 ...
- BPM工作流中的一些业务场景
会签 会签是指两个或多个节点同时审批完,才能到下一节点. 案例: 合同流程 1.媒体合同需要CS.财务两部门共同审批确认:2.两个部门无审批顺序之分:3.需要两个部门全部审批通过后,流程才能往下走. ...
- DG:重启之后主备数据重新同步
问题描述:本来配置好的DG第二天重启之后,发现主备库数据不能同步,在主库上执行日志切换以及创建表操作都传不到备库上,造成这种错误的原因是主库实例断掉后造成备库日志与主库无法实时接收 主库:orcl ...
- Redis缓冲区溢出及解决方案
缓冲区(buffer),是内存空间的一部分.也就是说,在内存空间中预留了一定的存储空间,这些存储空间用来缓冲输入或输出的数据,这部分预留的空间就叫做缓冲区. 一.Redis缓冲区溢出影响 在Redis ...
- Terraform 系列-Terraform 简介
系列文章 Terraform 系列文章 前言 最近在使用 Terraform 来置备 OCI 的 Always Free Tier, 发现它非常好用.总结学习下:Terraform 的基础知识. 什么 ...
- Android Studio中的一些常见控件
Android Studio是一款非常流行的用于开发Android应用程序的集成开发环境(IDE).它提供了许多内置控件,使开发人员可以轻松创建应用程序界面和功能.在本文中,我们将介绍Android ...
- 基于海思H3520DV400和QT5.9设计的车载终端DVR控制平台
目录 前言: 说明: 功能介绍: 设计思路: 详细设计: QT界面设计: 代码实现: 注意事项: (一)QT运行慢问题 (二)QT图层隐藏问题 (三)鼠标问题 (四)字体问题 (五)主界面图案 ( ...