wnagzihxa1n

wnagzihxa1n

iOS/Android Security

© 2021

2015 0CTF - simple-150

20150CTF的Mobile第二题,分值150

Java层简单明了的写了从res/raw文件夹读取flag.txt,然后输入数据进行对比

1.png

对着目录找到flag.txt

2.png

Flag:0ctf{Too_Simple_Sometimes_Naive!!!}

仿佛是在嘲笑我

抱着打死不信出题人半个字的原则,输入APP验证,然而Wrong

发现有一个so文件

IDA打开,发现有.init_array段,调用了my_init()

__int64 my_init()
{
    int PID; // r0@3
    __int64 v1; // ST00_8@3

    j_j_set_logfunction(nullsub_2);
    if ( CheckSig() )
        j_j_exit(0);
    PID = j_j_getpid();
    j_j_hook(&unk_6004, PID, "libc.", "read", CheckStrace, CheckPtrace, 0);
    return v1;
}

看着这命名,目测是签名验证反调试,然后有一个hook操作

回想在Java层输入的Flag不正确,再结合这里,应该就是有坑,这个坑目测就是hook了某个函数

再从传入的参数来看,应该是read()

于是就翻啊翻,找啊找,找到一个小朋友……

3.png

通常在自定义的函数里有异或操作往往说明这里是一个关键

注意前面有一个v5,其中的两个参数用在了后面的异或操作中,v3可能是某数组的起始地址,v10可能是长度

再进一步猜测,它是read()想到这里,我们把dest[]数组从so里拷贝出来

这里有个小技巧,可以使用Winhex的拷贝功能,找到偏移后,右键用C Source

unsigned AnsiChar data[35] = {
	0x00, 0x00, 0x00, 0x00, 0x00, 0x1D, 0x1B, 0x48, 0x2C, 0x0C, 0x24, 0x02, 0x02, 0x09, 0x3A, 0x0B, 
	0x3B, 0x0E, 0x03, 0x3A, 0x39, 0x0C, 0x08, 0x11, 0x00, 0x00, 0x1A, 0x09, 0x0C, 0x29, 0x20, 0x58, 
	0x44, 0x00, 0x00
};

写个简单的脚本异或一下

# coding = utf-8

data = [
    0x00, 0x00, 0x00, 0x00, 0x00, 0x1D, 0x1B, 0x48, 0x2C, 0x0C, 0x24, 0x02, 0x02, 0x09, 0x3A, 0x0B, 
    0x3B, 0x0E, 0x03, 0x3A, 0x39, 0x0C, 0x08, 0x11, 0x00, 0x00, 0x1A, 0x09, 0x0C, 0x29, 0x20, 0x58, 
    0x44, 0x00, 0x00]

old_flag = "0ctf{Too_Simple_Sometimes_Naive!!!}"

def main():
    flag = []
    for i in range(len(old_flag)):
        flag.append(chr(ord(old_flag[i]) ^ data[i]))
    print "".join(flag)

if __name__ == '__main__':
    main()

输出

0ctf{It's_More_Than_Meets_The_Eye!}

到这里可以确定我们的猜测,so里hook了read()函数,我们输入的字符串被异或后再和flag.txt里的数据对比

相比另一道150的Mobile,我觉得这题很值