下载附件,是一个apk文件
想着用夜神模拟器打开,但是说什么与版本不兼容,懒得再去配置了
直接放到jeb里分析吧,因为不知道这个apk运行起来长啥样,就随便点点找启动类(java学的不太好哈哈)
看到了一个onclick,应该是输入flag后,通过onclick调用类似“check”是否相等
点击这个lambda$........类看看里面有啥
可以看到运行程序后会有一个窗口,里面写了“java层和so层加密”(确实so层有点抽象(主要是不懂为啥端序要调整两次,拷打了chatgpt也不太清楚))
在上面有一个click函数,可以看到“checkresult”,应该就是java层的主逻辑了
第二个有“congratulations”,主要看这个,应该是RC4加密了,key为“rc4k4y”
input经过rc4加密后,再通过base64编码,看了一下rc4的逻辑,没有经过魔改
这时候再点击check函数
但是看不到逻辑,前面说"java层逻辑和so层加密",我们再去so文件里瞅瞅
小端序64位,直接扔到ida里,看看exports里有哪些引用
找到了check函数
点进去btea看了一下逻辑,发现是xxtea加密(经过魔改的(也不算“魔吧”),delta变了)
之后就是对比了
所以程序的流程应该是
java层将input经过rc4加密后再使用base64编码,结果再传入so层进行xxtea加密,最后再与secrets比较
那我们就先将secrets进行xxtea解密,再使用base64解码,最后再通过rc4解密
1.
#include <stdio.h>
#include <stdint.h>
#define DELTA 0xdeadbeef //changable
#define MX (((z>>5^y<<3) + (y>>3^z<<2)) ^ ((sum^y) + (key[(p&3)^e] ^ z)))//changable
void btea(uint32_t *v, int n, uint32_t const key[4])
{
uint32_t y, z, sum;
unsigned p, rounds, e;
if (n > 1) /* Coding Part */
{
rounds = 6 + 52/n;
sum = 0;
z = v[n-1];
do
{
sum += DELTA;
e = (sum >> 2) & 3;
for (p=0; p<n-1; p++)
{
y = v[p+1];
z = v[p] += MX;
}
y = v[0];
z = v[n-1] += MX;
}
while (--rounds);
}
else if (n < -1) /* Decoding Part */
{
n = -n;
rounds = 6 + 52/n;
sum = rounds*DELTA;
y = v[0];
printf("%x\n",v[0]);
printf("%x\n",v[1]);
do
{
e = (sum >> 2) & 3;
for (p=n-1; p>0; p--)
{
z = v[p-1];
y = v[p] -= MX;
}
z = v[n-1];
y = v[0] -= MX;
sum -= DELTA;
}
while (--rounds);
}
}
int main()
{
unsigned int secrets[12] = {
0x8C12D3DF,0x5F4C4137,0x1A9D3D02,0x2D1294B7,0xFB622B37,0xD18D84E3,0x064C4592,0x16985CAB,0xFDB06D69,0xFB30B1E3,0x925C2FD3,0x2E1BB40C
};
//uint32_t const k[4]= {2,2,3,4};密钥
int n=-12; //n的绝对值表示v的长度,取正表示加密,取负表示解密
// v为要加密的数据是两个32位无符号整数
// k为加密解密密钥,为4个32位无符号整数,即密钥长度为128位
//解密时一定是每次传入两个uint32_t(32位无符号整数)
//printf("加密前原始数据:%u %u\n",v[0],v[1]);
//btea(v, n, k);
//printf("加密后的数据:%u %u\n",v[0],v[1]);
btea(( unsigned int *)secrets,n,( unsigned int *)"meow~meow~tea~~~");
for(int i=0;i<12;i++){
printf("%x ",( unsigned int )secrets[i]);
}
return 0;
}官方wp的secrets是直接声明为long long,但是因为不太清楚数据类型这些的,怕出错,我就直接将ida中的数据提取后转为16进制,因为xxtea加解密每一次都是传入两个unsigned的整形,所以这边我就将每个提取出(64位的dq)的16进制再转为大端序(32位的dw)。
结果为
再进行base64解码,注意最后一个’a‘前补个0
最迷的就是为啥刚才xxtea已经转换端序了
现在这个传入base64解码的字节流也要转换端序(有没有师傅可以教教)
import base64
data1='6f694771736b3854694876624d6f69662f7164597073426843344c5256467a5262592f4f64594e673d3d67430a'
print(bytes.fromhex(data1))
print()
code=''
for i in range(0,len(data1)-8,8):
code+=data1[i+6]
code += data1[i + 7]
code += data1[i + 4]
code += data1[i + 5]
code += data1[i + 2]
code += data1[i + 3]
code += data1[i + 0]
code += data1[i + 1]
print(code)
print(bytes.fromhex(code))
print()
a = int.from_bytes(base64.b64decode(bytes.fromhex(code)))
print(hex(a))结果为
现在再进行rc4解密
得到flag
小tips:tea算法每次加解密操作的v一定是两个uint_32,至于怎么传入两个uint_32,题目有各种呈现方式,需要做题者自行分析
标签:code,加密,Newstarctf2024,int,base64,SecertsOfKawaii,print,Week3,data1 From: https://blog.csdn.net/weixin_73341373/article/details/143833501