1. 爬楼梯

先运行apk,查看具体的功能

爬一层楼是可以点击的,爬到了,看FLAG是不可以点击的.我们可以大致的了解到到了具体的楼层才可以看到flag,多次打开软件,楼层数目是随机的.

用APKIDE反编译后,用jd-gui查看源码

package com.ctf.test.ctf_100;

import android.os.Bundle;

import android.os.Debug;

import android.support.v7.app.AppCompatActivity;

import android.view.View;

import android.widget.Button;

import android.widget.TextView;

import java.util.Random;

public class MainActivity

  extends AppCompatActivity

{

  public int has_gone_int;    //已经爬的楼层

  public int to_reach_int;    //要爬的楼层

  static

  {

    if (!Debug.isDebuggerConnected()) {

      System.loadLibrary("ctf");  //导入库文件

    }

  }

  public void Btn_up_onclick(View paramView)

  {

    this.has_gone_int += 1;    //每点击一次按钮,已经爬的楼层+1.

    paramView = "" + this.has_gone_int;  

    ((TextView)findViewById(2131492948)).setText(paramView);

    if (this.to_reach_int <= this.has_gone_int) {    //如果已经爬的楼层 大于或等于要爬的楼层,设置按钮空间点击有效

      ((Button)findViewById(2131492950)).setClickable(true);

    }

  }

  public void btn2_onclick(View paramView)

  {

    ((TextView)findViewById(2131492951)).setText("{Flag:" + get_flag(this.to_reach_int) + "}");  //显示flag

  }

  public native String get_flag(int paramInt);

  protected void onCreate(Bundle paramBundle)  //创建

  {

    super.onCreate(paramBundle);

    setContentView(2130968601);

    ((Button)findViewById(2131492950)).setClickable(false);  //设置显示flag控件按钮点击无效.也就是说刚开始我们是不能点击的,需要一定的条件.
                                     //如果我们将此处改为true,那么开始的时候就可以点击了.

    this.has_gone_int = 0;      //设置已经爬的楼层的默认值为0

    paramBundle = new Random();

    for (this.to_reach_int = paramBundle.nextInt();; this.to_reach_int = paramBundle.nextInt())

    {

      if (this.to_reach_int < 0) {

        this.to_reach_int *= -1;

      }

      if (5 < this.to_reach_int)

      {

        this.to_reach_int %= 32;

        this.to_reach_int *= 16384;

        ((TextView)findViewById(2131492947)).setText("" + this.to_reach_int);

        ((TextView)findViewById(2131492951)).setText("");

        return;

      }

    }

  }

}

  从源码中我们有非常多的思路来显示flag,因为APKIDE我无法回编译成功,所以用android killer来进行回编译成功了

查看smail源码,查看setclickable字符串,

    const/4 v3, 0x1

    invoke-virtual {v0, v3}, Landroid/widget/Button;->setClickable(Z)V
    invoke-virtual {v0, v5}, Landroid/widget/Button;->setClickable(Z)V

有两处调用了setClickable函数,v3和v5的分别是0x0,0x1,这就是传参中的true和false.我们把上面中的false改为true.然后就可以获得flag

FindPass

用jadx打开apk,找到主要函数

    public void GetKey(View view) {

        String fkey = ((EditText) findViewById(R.id.editText1)).getText().toString();

        if (TextUtils.isEmpty(fkey.trim())) {    //如果输入的字符串为空,则输出下面的话

            Toast.makeText(this, "请输入key值!", 1).show();

            return;

        }

        char[] ekey = getResources().getString(R.string.fkey).toCharArray();  //从资源中获取字符串ekey

        int changdu = ekey.length;  //资源中的字符串长度

        char[] cha = new char[1024];  //新建一个1024长度的字符数组

        try {

            new InputStreamReader(getResources().getAssets().open("src.jpg")).read(cha);  //读取一张图片的数据到cha数组中

        } catch (Exception e) {

            e.printStackTrace();

        }

        for (int i = 0; i < changdu; i++) {

            int temp2 = cha[ekey[i]] % 10;  

            if (i % 2 == 1) {

                ekey[i] = (char) (ekey[i] + temp2);

            } else {

                ekey[i] = (char) (ekey[i] - temp2);

            }

        }

        if (fkey.equals(new String(ekey))) {

            Toast.makeText(this, "恭喜您,输入正确!Flag==flag{Key}", 1).show();

        } else {

            Toast.makeText(this, "not right! lol。。。。", 1).show();

        }

    }

在这里也学到了一些新的知识,android用id定位某些资源,将这些资源都放在xml文件中.从中提取出来fkey字符串的值

我们可以看到就是用图片的字节数据和资源中的字符串进行运算就可以得到flag.一直弄不出来,后来看别人的WP,写出来了.原来是数据类型的问题.InputStreamReader函数读取8位的字节流.也就是说是byte.它的取值范围从-128~127.而python的取值范围是0~255.所以flag中有一位出现错误,总是找不出来错误原因.贴上抄别人的代码.图片资源从解压的APK中获取.

 ekey='Tr43Fla92Ch4n93'

 changdu =len(ekey)

 cha =[]

 flag=''

 f =open('src.jpg','rb')

 f.seek(0,0)

 for i in range(0,1024):

     byte = f.read(1)

     cha.append(ord(byte))

 #print(cha)

 for i in range(len(ekey)):

     if cha[ord(ekey[i])]<128:

         temp2 = cha[ord(ekey[i])] % 10

     else :

         temp2 =(-(cha[ord(ekey[i])]%128))%10

     if i % 2 == 1:

         flag +=chr(ord(ekey[i]) + temp2)

     else:

         flag +=chr(ord(ekey[i]) -temp2)

 print(flag)

 #Qv49CmZB2Df4jB-

最后运行模拟器验证,发现终于对了.

Classical Crackme

先运行查看信息,发现一个输入框,查壳.用C#写的直接去看源码

找到了关键信息,base64解密得到flag

JarvisOJ 逆向Writeup的更多相关文章

  1. 简单的Elf逆向Writeup

    ElfCrackMe1 html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,abbr,acrony ...

  2. IDF-CTF-简单的Elf逆向Writeup

    ElfCrackMe1 *:first-child { margin-top: 0 !important; } body>*:last-child { margin-bottom: 0 !imp ...

  3. IDF实验室-简单的ELF逆向 writeup

    题目:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=39 下载得到ElfCrackMe1文件,直接用IDA打开 ...

  4. 社团的CTF逆向题WriteUp

    最近社团弄了CTF比赛,然后我就帮忙写了逆向的题目,这里写一下WriteUp,题目和源码在附件中给出 一个简单的逆向:one_jmp_to_flag.exe 这题算是签到题,直接OD智能搜索就完事了, ...

  5. JarvisOJ平台Web题部分writeup

    PORT51 题目链接:http://web.jarvisoj.com:32770/ 这道题本来以为是访问服务器的51号端口,但是想想又不太对,应该是本地的51号端口访问服务器 想着用linux下的c ...

  6. 【Data URL】【RE】【bugku】逆向入门writeup

    在写wp之前先来了解一下Data URL是什么 Data URL 在浏览器向服务端发送请求来引用资源时,一般浏览器都有同一时间并发请求数不超过4个的限制.所以如果一个网页需要引用大量的服务端资源,就会 ...

  7. DDCTF2019逆向分析前俩题WriteUP

    DDCTF2019 笔者做了前俩道题.冷不丁过去一个月了.现在在此做一下WriteUp:题目链接: 1:题目1 2:题目2 reverse1:writeup: 1.程序打开后如下所示 2.查壳结果为U ...

  8. 实验吧逆向catalyst-system Writeup

    下载之后查看知道为ELF文件,linux中执行之后发现很慢: 拖入ida中查看发现有循环调用 sleep 函数: 这是已经改过了,edit -> patch program -> chan ...

  9. 南京邮电大学 CTF 逆向部分 Writeup

    Hello,RE! 提示 IDA 中按 R . Google 到 IDA 中 R 快捷键是 Character ,转为字符串. 丢进 IDA(虽然我并不会使用 IDA 有个 strcmp 函数,比较 ...

随机推荐

  1. OAUTH2.0协议-菜鸟级

    OAUTH2.0入门必看 一.摘要 OAUTH协议为用户资源的授权提供了一个安全的.开放而又简易的标准.与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即 ...

  2. JavaScript DoublyLinkedList

    function DoublyLinkedList() { var Node = function(element) { this.element = element; this.next = nul ...

  3. 转 Python selenium 强制等待显示等待隐式等待

    1. 1. 强制等待第一种也是最简单粗暴的一种办法就是强制等待sleep(xx),强制让闪电侠等xx时间,不管凹凸曼能不能跟上速度,还是已经提前到了,都必须等xx时间. 看代码: # -*- codi ...

  4. python面试题之Python 的特点和优点是什么

    Python 可以作为编程的入门语言,因为他具备以下特质: 1. 解释性 2. 动态特性 3. 面向对象 4. 语法简洁 5. 开源 6. 丰富的社区资源 7 库丰富 文章转载自Python黑洞网

  5. 02 java内存模型

    java内存模型 1.JVM内存区域 方法区:类信息.常量.static.JIT (信息共享) java堆:实例对象 GC (信息共享) OOM VM stack:JAVA方法在运行的内存模型 (OO ...

  6. day64--pymysql模块的使用、视图、触发器、函数、存储过程、事务

    一.pymysql的下载和使用 (一)pymysql模块的下载:pip3 install pymysql # 实现:使用Python实现用户登录,如果用户存在则登录成功(假设该用户已在数据库中) im ...

  7. 【学习总结】java数据结构和算法-第二章-数据结构和算法概述

    总目录链接 [学习总结]尚硅谷2019java数据结构和算法 github:javaDSA 目录 数据结构和算法的关系 几个实际编程中的问题 线性结构和非线性结构 数据结构和算法的关系 几个实际编程中 ...

  8. 1.ireport基本使用

    1. 2.

  9. 微信小程序(18)-- 自定义头部导航栏

    最近做的项目涉及相应的页面显示相应的顶部标题,所以就需要自定义头部导航了. 首先新建一个顶部导航公用组件topnav,导航高度怎么计算? 1.wx.getSystemInfo 和 wx.getSyst ...

  10. [HNOI2015]亚瑟王(概率dp)

    题面太长了就不复制了,传送门 一道做了还是很懵逼的题目,感觉以后碰到类似的还是不会,果然HNOI题目很皮. 题解传送 补充一下吧.//感觉他的博客已经写得很好了......Orz 需要的可以两边一起看 ...