[原创]记录一次非常简单的so层小逆向,适合小白入门
题目要求:找出flag
0x01 前景
一个经过360加固了的APK,我们先用FART脱壳
脱壳带走,分析test
Native化,准备干libso
0x02 操作
==================================开始操作===================================
首先查看init.array部分,它的运行时机真的很早。
窥探一下这里的两个内容:第一个函数.datadiv是异或解密【双击进去后分析逻辑得到】
第二个byte_8905是个被加密过的字节
我们接着看JNI_OnLoad,可以发现只动态注册了一个函数,那我们有理由猜测是test
在动态注册时,我们通过观察IDA的.data.rel.ro需要知道方法结构体信息:
typedef struct {
const char* name;
const char* signature;
void* fnPtr;
} JNINativeMethod;结构体包含三部分分别是:方法名、方法的签名、对应的native函数地址;
那么这里我们肯定重点看第三部分,因为要找到具体的解密函数,这时候我们需要在动态注册段对应上:
我们来验证一下:
函数名
byte_1C066:0x87, 0x96, 0x80, 0x87, 0xF3, 0, 0, 0, 0, 0
长度为4
[0]=0x87 ^ 0xF3 = 0x74 = t
[1]=0x96 ^ 0xF3 = 0x65 = e
[2]=0x80 ^ 0xF3 = 0x73 = s
[3]=0x87 ^ 0xF3 = 0x74 = t
合成得:test
所以这是test函数名
函数签名信息
byte_1C070解密后是:(Ljava/lang/String;)Z
正好就是boolean test(string content)
函数注册地址
之后我们来到OOXX函数观看流程,发现JUMPOUT函数,而且进入sub_8930函数查看了一些逻辑之后发现流程晦涩难懂。
当我们遇到晦涩难懂的问题时,不如尝试去用用Frida。
====================================转换思路=========================================
一直以来想用Frida解开一道这种验证输入的题,奈何没有找到机会,这一次想尝试一下:
//新建frida_test.js
function hookstrcmp(){
Java.perform(function() {
console.log("I am a Hook function");
var strcmp = Module.findExportByName("libc.so","strcmp");//这里发现无论“libnative-lib.so”还是“libc.so”都是一样的地址
console.log("find strcmp:",strcmp);
Interceptor.attach(strcmp, {
onEnter: function (args) {
//hook住后打印strcmp的第一个参数和第二个参数的内容
console.log("[*] strcmp (" + ptr(args[0]).readCString() + "," + ptr(args[1]).readCString()+")");
},onLeave:function(retval){}
});
})
}启动frida并attach app的进程
frida -U com.kanxue.test -l frida_test.js
首先敲入
hookstrcmp()
然后再在手机端敲入“bangbang”
观察电脑端日志
我打印出来了整个运行过程中的strcmp,发现只有一处和bangbang进行了比较
毋庸置疑,kanxuetest即flag值
0x03 验证
所以,kanxuetest就是flag。
如有侵权请联系:admin#unsafe.sh