CTF 安卓逆向
MagicImageViewer——png结构+算法
很少做安卓逆向的题目,在此记录一下
先用模拟器看一下
嗯,没啥提示。
jeb打开
关键部分
if(s.length() == 16) //输入的字符串长度为16
String s1 = MainActivity.this.getKey(s); //该方法获得s1,getKey()在native层
Bitmap bitmap0 = MagicImageUtils.readMagicImage(MainActivity.this, "png/encrypt_png.dat", s1);
// MagicImageUtils.readMagicImage是Java层的方法
先看getKey()
关键部分
strcpy(v5, "Welcome_to_sdnisc_2018_By.Zero");
v13[i] = *(v7 + 2 * i) ^ v5[i - 30 * (v9 / 30)];
2*i比较怪,是什么呢?我们查一下JNI的GetStringChars方法,由参考链接1可知它返回的是Unicode格式的char*,所以2字节算一个字符**
v5[i - 30 * (v9 / 30)这个就是v5[i]
就是对输入的字符串进行异或(前16位)
接着看MagicImageUtils.readMagicImage
关键部分
int v1 = inputStream0.read();//读取路径文件
arrayList0.add(Byte.valueOf(((byte)MagicImageUtils.decrypt(v1, ((char)s1.charAt(v % 16))))));
//decrypt() 在native层
也是个异或
接着往下看可以发现,后面生成了图片,也就是对于加密后的图片数据,解密为图片
输入s,s与v5异或得到s1,s1,路径文件异或生成内容转化,图片。
但是png图片的前16位是固定的,所以很容易解出来。
goal = b'\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52' //png图片的前16 位
key_s = 'Welcome_to_sdnisc_2018_By.Zero'
ans = ''
with open('encrypt_png.dat', 'rb') as f:
dat = f.read(16)
for i in range(16):
v = (dat[i] - 1) ^ 0x61 ^ goal[i] ^ ord(key_s[i])
ans += chr(v)
print(ans)
输出 XaE3*2#@!qV^v+_.
验证:
得到flag。
此时可以更为有趣的写出png(刚开始没想到)
此时
没看懂getKey也能过这题。
作者贴心地提供了一个正常图片的处理函数MagicImageUtils.readImage。
此时会出现dat=0的情况,所以加了验证
goal = b'\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52'
def b(v):
return v if v >= 0 else 0xff
with open('encrypt_png.dat', 'rb') as f:
dat = f.read()
_key = b''
for i in range(16):
_key += (b(dat[i] - 1) ^ 0x61 ^ goal[i]).to_bytes(length=1, byteorder='big', signed=False)
with open('flag.png', 'wb') as f:
for i in range(len(dat)):
f.write((b(dat[i] - 1) ^ 0x61 ^ _key[i & 0xf]).to_bytes(length=1, byteorder='big', signed=False))
flag
参考链接:
https://www.cnblogs.com/lijunamneg/archive/2012/12/22/2828891.html
https://www.52pojie.cn//thread-1665541-1-1.html