1. 爬楼梯

先运行apk,查看具体的功能

爬一层楼是可以点击的,爬到了,看FLAG是不可以点击的.我们可以大致的了解到到了具体的楼层才可以看到flag,多次打开软件,楼层数目是随机的.

用APKIDE反编译后,用jd-gui查看源码

package com.ctf.test.ctf_100;

import android.os.Bundle;

import android.os.Debug;

import android.support.v7.app.AppCompatActivity;

import android.view.View;

import android.widget.Button;

import android.widget.TextView;

import java.util.Random;

public class MainActivity

  extends AppCompatActivity

{

  public int has_gone_int;    //已经爬的楼层

  public int to_reach_int;    //要爬的楼层

  static

  {

    if (!Debug.isDebuggerConnected()) {

      System.loadLibrary("ctf");  //导入库文件

    }

  }

  public void Btn_up_onclick(View paramView)

  {

    this.has_gone_int += 1;    //每点击一次按钮,已经爬的楼层+1.

    paramView = "" + this.has_gone_int;  

    ((TextView)findViewById(2131492948)).setText(paramView);

    if (this.to_reach_int <= this.has_gone_int) {    //如果已经爬的楼层 大于或等于要爬的楼层,设置按钮空间点击有效

      ((Button)findViewById(2131492950)).setClickable(true);

    }

  }

  public void btn2_onclick(View paramView)

  {

    ((TextView)findViewById(2131492951)).setText("{Flag:" + get_flag(this.to_reach_int) + "}");  //显示flag

  }

  public native String get_flag(int paramInt);

  protected void onCreate(Bundle paramBundle)  //创建

  {

    super.onCreate(paramBundle);

    setContentView(2130968601);

    ((Button)findViewById(2131492950)).setClickable(false);  //设置显示flag控件按钮点击无效.也就是说刚开始我们是不能点击的,需要一定的条件.
                                     //如果我们将此处改为true,那么开始的时候就可以点击了.

    this.has_gone_int = 0;      //设置已经爬的楼层的默认值为0

    paramBundle = new Random();

    for (this.to_reach_int = paramBundle.nextInt();; this.to_reach_int = paramBundle.nextInt())

    {

      if (this.to_reach_int < 0) {

        this.to_reach_int *= -1;

      }

      if (5 < this.to_reach_int)

      {

        this.to_reach_int %= 32;

        this.to_reach_int *= 16384;

        ((TextView)findViewById(2131492947)).setText("" + this.to_reach_int);

        ((TextView)findViewById(2131492951)).setText("");

        return;

      }

    }

  }

}

  从源码中我们有非常多的思路来显示flag,因为APKIDE我无法回编译成功,所以用android killer来进行回编译成功了

查看smail源码,查看setclickable字符串,

    const/4 v3, 0x1

    invoke-virtual {v0, v3}, Landroid/widget/Button;->setClickable(Z)V
    invoke-virtual {v0, v5}, Landroid/widget/Button;->setClickable(Z)V

有两处调用了setClickable函数,v3和v5的分别是0x0,0x1,这就是传参中的true和false.我们把上面中的false改为true.然后就可以获得flag

FindPass

用jadx打开apk,找到主要函数

    public void GetKey(View view) {

        String fkey = ((EditText) findViewById(R.id.editText1)).getText().toString();

        if (TextUtils.isEmpty(fkey.trim())) {    //如果输入的字符串为空,则输出下面的话

            Toast.makeText(this, "请输入key值!", 1).show();

            return;

        }

        char[] ekey = getResources().getString(R.string.fkey).toCharArray();  //从资源中获取字符串ekey

        int changdu = ekey.length;  //资源中的字符串长度

        char[] cha = new char[1024];  //新建一个1024长度的字符数组

        try {

            new InputStreamReader(getResources().getAssets().open("src.jpg")).read(cha);  //读取一张图片的数据到cha数组中

        } catch (Exception e) {

            e.printStackTrace();

        }

        for (int i = 0; i < changdu; i++) {

            int temp2 = cha[ekey[i]] % 10;  

            if (i % 2 == 1) {

                ekey[i] = (char) (ekey[i] + temp2);

            } else {

                ekey[i] = (char) (ekey[i] - temp2);

            }

        }

        if (fkey.equals(new String(ekey))) {

            Toast.makeText(this, "恭喜您,输入正确!Flag==flag{Key}", 1).show();

        } else {

            Toast.makeText(this, "not right! lol。。。。", 1).show();

        }

    }

在这里也学到了一些新的知识,android用id定位某些资源,将这些资源都放在xml文件中.从中提取出来fkey字符串的值

我们可以看到就是用图片的字节数据和资源中的字符串进行运算就可以得到flag.一直弄不出来,后来看别人的WP,写出来了.原来是数据类型的问题.InputStreamReader函数读取8位的字节流.也就是说是byte.它的取值范围从-128~127.而python的取值范围是0~255.所以flag中有一位出现错误,总是找不出来错误原因.贴上抄别人的代码.图片资源从解压的APK中获取.

 ekey='Tr43Fla92Ch4n93'

 changdu =len(ekey)

 cha =[]

 flag=''

 f =open('src.jpg','rb')

 f.seek(0,0)

 for i in range(0,1024):

     byte = f.read(1)

     cha.append(ord(byte))

 #print(cha)

 for i in range(len(ekey)):

     if cha[ord(ekey[i])]<128:

         temp2 = cha[ord(ekey[i])] % 10

     else :

         temp2 =(-(cha[ord(ekey[i])]%128))%10

     if i % 2 == 1:

         flag +=chr(ord(ekey[i]) + temp2)

     else:

         flag +=chr(ord(ekey[i]) -temp2)

 print(flag)

 #Qv49CmZB2Df4jB-

最后运行模拟器验证,发现终于对了.

Classical Crackme

先运行查看信息,发现一个输入框,查壳.用C#写的直接去看源码

找到了关键信息,base64解密得到flag

JarvisOJ 逆向Writeup的更多相关文章

  1. 简单的Elf逆向Writeup

    ElfCrackMe1 html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,abbr,acrony ...

  2. IDF-CTF-简单的Elf逆向Writeup

    ElfCrackMe1 *:first-child { margin-top: 0 !important; } body>*:last-child { margin-bottom: 0 !imp ...

  3. IDF实验室-简单的ELF逆向 writeup

    题目:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=39 下载得到ElfCrackMe1文件,直接用IDA打开 ...

  4. 社团的CTF逆向题WriteUp

    最近社团弄了CTF比赛,然后我就帮忙写了逆向的题目,这里写一下WriteUp,题目和源码在附件中给出 一个简单的逆向:one_jmp_to_flag.exe 这题算是签到题,直接OD智能搜索就完事了, ...

  5. JarvisOJ平台Web题部分writeup

    PORT51 题目链接:http://web.jarvisoj.com:32770/ 这道题本来以为是访问服务器的51号端口,但是想想又不太对,应该是本地的51号端口访问服务器 想着用linux下的c ...

  6. 【Data URL】【RE】【bugku】逆向入门writeup

    在写wp之前先来了解一下Data URL是什么 Data URL 在浏览器向服务端发送请求来引用资源时,一般浏览器都有同一时间并发请求数不超过4个的限制.所以如果一个网页需要引用大量的服务端资源,就会 ...

  7. DDCTF2019逆向分析前俩题WriteUP

    DDCTF2019 笔者做了前俩道题.冷不丁过去一个月了.现在在此做一下WriteUp:题目链接: 1:题目1 2:题目2 reverse1:writeup: 1.程序打开后如下所示 2.查壳结果为U ...

  8. 实验吧逆向catalyst-system Writeup

    下载之后查看知道为ELF文件,linux中执行之后发现很慢: 拖入ida中查看发现有循环调用 sleep 函数: 这是已经改过了,edit -> patch program -> chan ...

  9. 南京邮电大学 CTF 逆向部分 Writeup

    Hello,RE! 提示 IDA 中按 R . Google 到 IDA 中 R 快捷键是 Character ,转为字符串. 丢进 IDA(虽然我并不会使用 IDA 有个 strcmp 函数,比较 ...

随机推荐

  1. Django csrf,xss,sql注入

    一.csrf跨站请求伪造(Cross-site request forgery) CSRF的攻击原理:简单说就是利用了高权限帐号(如管理员)的登录状态或者授权状态去做一些后台操作,但实际这些状态并没有 ...

  2. spring cloud gateway获取response body

    网关发起请求后,微服务返回的response的值要经过网关才发给客户端.本文主要讲解在spring cloud gateway 的过滤器中获取微服务的返回值,因为很多情况我们需要对这个返回进行处理.网 ...

  3. seaborn教程4——分类数据可视化

    https://segmentfault.com/a/1190000015310299 Seaborn学习大纲 seaborn的学习内容主要包含以下几个部分: 风格管理 绘图风格设置 颜色风格设置 绘 ...

  4. ECharts 图表导出

    Echarts图形是由Javascript亲自在前端网页上绘制的 1.用ECharts配置项手册中的toolbox.feature.saveAsImage toolbox: { show: true, ...

  5. spring(五):spring中Aware接口的使用

    spring中自定义组件需要使用spring的底层组件时,可以通过自定义组件实现相关XxxAware接口,重写其中的方法进而实现 例如:自定义一个组件,该组件中需要使用ApplicationConte ...

  6. emit写了个实体转换程序

    就我自己知道的,automapper是常用的,还是比较合适好用.不过我一般采用MVVM模式,其实就是简单的model名称不同而已,而这些转换器升级,扩展的很多,功能丰富,但是我用不到啊,又不能按照自己 ...

  7. 从“中产梦”中醒来,好好打工吧

    "中产"定义 自打"中产阶级/阶层"概念出现,总有人试图给出定义.搞不清何为"中产"却试图定义"中产阶级/阶层",注定是 ...

  8. elasticsearch 深入 —— 近似匹配

    近似匹配 使用 TF/IDF 的标准全文检索将文档或者文档中的字段作一大袋的词语处理. match 查询可以告知我们这大袋子中是否包含查询的词条,但却无法告知词语之间的关系. 思考下面这几个句子的不同 ...

  9. 20180209-os模块

    下面将学习关于os模块的相关操作 项目练习的目录结构如下:所有的操作都是基于os_exercise.py模块 1.获取当前的Python脚本的工作目录路径 os.getcwd() # 1.获取当前目录 ...

  10. linux性能分析工具Ntop