ez_AndroidRe

简单的Android逆向出题日期：2024.12.4 1200pts

题目概述

本题目为Android简单逆向题目，目的考察对Android应用的基础了解

Tag：#Android逆向 #Activity #Java #Aes加密 #Random

难度：简单

预期解：0 ~ 1

实际解出：1

题目附件

9MB

debug.zip

官方完整WirteUP

方法一：直接打开Activity，获取Flag（针对题目，简单方法）

首先，安装应用，查看发现拥有4个Activity

其中有用的Activity有两个：

分别为Main与Home，其中MainActivity为Laucher 即启动/登录页面

我们如果想绕过登录，也就是绕过MainActivity

所以我们直接打开HomeActivity

发现我们直接绕过了登录，直接拿到flag

方法二：Hook程序，始终返回True，强制登录（万能简单方法）

首先，打开应用包，反编译Dex文件：

直接定位到MainActivity打开

发现有以下代码有些可疑：

经过分析，发现用户名始终为“admin” 但是这并不重要

我们直接查看密码判断逻辑 这里就是判断登录的函数

如果正确（True）则直接进入主页面
如果错误（False）则报错，提示不正确

我们先hook主程序，查看一下该函数的返回值：

之后随意输入密码，返回到应用查看日志：

发现为False，并且提示报错，登陆失败

于是我们直接Hook该函数，让该函数始终返回True：

Hook成功后，我们直接随便输入密码，均可成功登录

实现绕过鉴权验证，拿到flag：

方法三：逆向Android应用，分析加密过程，进行解密（正规硬核方法）

首先，我们使用逆向工具打开apk文件，反编译查看源代码

我们直接定位到MainActivity查看源码

发现登陆页面，用户名始终为admin，密码定义了一个函数generatedPassword

查看函数：

Random random = new Random("thisispassword".hashCode());

Iterable $this$map$iv = new IntRange(1, 16);

函数定义了一个随机函数，其中thisispassword为随机种子（seed）

密码长度为16位

这里定义了加密字典：

while (it.hasNext()) {

            ((IntIterator) it).nextInt();

            destination$iv$iv.add(Character.valueOf("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()".charAt(random.nextInt("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()".length()))));

        }

所以，我们可以直接写一个脚本来生成密码：

payload.java

import java.util.Random;

public class PasswordGenerator {
    public static void main(String[] args) {
        String generatedPassword = generatePassword();
        System.out.println("Generated Password: " + generatedPassword);
    }

    private static String generatePassword() {
        String seed = "thisispassword";
        Random random = new Random(seed.hashCode()); 

        int passwordLength = 16;
        String charPool = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()";

        StringBuilder password = new StringBuilder(passwordLength);
        for (int i = 0; i < passwordLength; i++) {
            password.append(charPool.charAt(random.nextInt(charPool.length())));
        }
        return password.toString();
    }
}

由于Android应用是Java/Kotlin写的

所以我们脚本也必须是Java/Kotlin

编译运行，得到密码：

所以，我们使用 admin,3f%Qn5ELCCQtLnl3 即可正确登录系统拿到flag

这就结束了吗？

是的，拿到flag了，但是有没有想过flag是如何加密的呢？

接下来分析一下flag的加密方式

首先我们反编译homeactivity：

我们会发现，flag加密方式非常简单，仅仅使用了AES

放入在线工具，也能直接解密获得flag

~~flag加密比登录加密简单太多了，不会真的有人去破解登录加密吧~~

出题人小记

本次也是第一次接触Android开发，出题也遇到了不少问题，挺有意思的

包里面有很多默认的东西都没删除，这让包体变得很大，更不容易解出（？）

预期 0~1 解，还真没想到有人可以做出来，从零开始现学能做出来是真的不容易了，为他点个赞

最后附上程序的源代码，可以供你们参考一下

Activities：

MainActivity.kt

package com.xjw.ezandroidre

import android.content.Intent
import android.os.Bundle
import android.widget.Button
import android.widget.EditText
import android.widget.Toast
import androidx.appcompat.app.AppCompatActivity
import java.util.Random
import android.util.Log

class MainActivity : AppCompatActivity() {
    override fun onCreate(savedInstanceState: Bundle?) {
        super.onCreate(savedInstanceState)
        setContentView(R.layout.activity_main)

        val username = findViewById<EditText>(R.id.username)
        val password = findViewById<EditText>(R.id.password)
        val loginButton = findViewById<Button>(R.id.loginButton)

        val generatedPassword = generatePassword()

        loginButton.setOnClickListener {
            if (username.text.toString() == "admin" && password.text.toString() == generatedPassword) {
                val intent = Intent(this, HomeActivity::class.java)
                startActivity(intent)
            } else {
                Toast.makeText(this, "想直接登录？没门！", Toast.LENGTH_SHORT).show()
            }
        }
    }

    private fun generatePassword(): String {
        val seed = "thisispassword"
        val random = Random(seed.hashCode().toLong())
        val hashCode = seed.hashCode()
        Log.d("PasswordGenerator", "HashCode: $hashCode")

        val passwordLength = 16
        val charPool = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()"

        return (1..passwordLength)
            .map { charPool[random.nextInt(charPool.length)] }
            .joinToString("")
    }
}

HomeActivity.kt

package com.xjw.ezandroidre

import android.os.Bundle
import android.widget.Button
import android.widget.TextView
import androidx.appcompat.app.AppCompatActivity
import javax.crypto.Cipher
import javax.crypto.spec.SecretKeySpec
import android.util.Base64

class HomeActivity : AppCompatActivity() {
    override fun onCreate(savedInstanceState: Bundle?) {
        super.onCreate(savedInstanceState)
        setContentView(R.layout.activity_home)

        val getFlagButton = findViewById<Button>(R.id.getFlagButton)
        val flagText = findViewById<TextView>(R.id.flagText)

        getFlagButton.setOnClickListener {
            val encryptedFlag = "BPSRhCCmxqbB9JzVngPDJHOP41GOfvKtr7K8DYL5bNmUflxj/MtvouWXzFp+n261"
            val decryptedFlag = decryptFlag(encryptedFlag)
            flagText.text = decryptedFlag
        }
    }

    private fun decryptFlag(encrypted: String): String {
        val key = "zheshimimazhende"
        val secretKey = SecretKeySpec(key.toByteArray(Charsets.UTF_8), "AES")

        val cipher = Cipher.getInstance("AES/ECB/PKCS5Padding")
        cipher.init(Cipher.DECRYPT_MODE, secretKey)

        val decodedBytes = Base64.decode(encrypted, Base64.DEFAULT)
        val decryptedBytes = cipher.doFinal(decodedBytes)

        return String(decryptedBytes).trim()
    }
}

Aes加密脚本：

from Crypto.Cipher import AES
import base64

def pad(s):
    return s + (16 - len(s) % 16) * chr(16 - len(s) % 16)

def encrypt_flag(flag, key):
    cipher = AES.new(key.encode('utf-8'), AES.MODE_ECB)
    encrypted = cipher.encrypt(pad(flag).encode('utf-8'))
    return base64.b64encode(encrypted).decode('utf-8')

if __name__ == "__main__":
    flag = "flag{4ndr01d_r3_4ct1v1ty_50_c00l!}"
    key = "zheshimimazhende"
    encrypted_flag = encrypt_flag(flag, key)
    print(f"Encrypted flag: {encrypted_flag}")

Previous2024深育杯攻防大赛 WP Nextbase65536

Last updated 12 months ago

Was this helpful?