[BUGKU] [REVERSE] Timer

标签: # [BUGKU] [REVERSE]  安卓

[BUGKU] [REVERSE] Timer


先拉进安卓模拟器,发现是倒计时200000秒,应该是倒计时变零就会出现flag,但是200000太大了,得等好几个小时,故逆向

首先PKID查壳,发现无壳

然后拉进JEB2,查看入口MainActivity的反编译

名称:Timer
包名:net.bluelotus.tomorrow.easyandroid
入口:net.bluelotus.tomorrow.easyandroid.MainActivity

package net.bluelotus.tomorrow.easyandroid;

import android.os.Bundle;
import android.os.Handler;
import android.support.v7.app.AppCompatActivity;
import android.view.Menu;
import android.view.MenuItem;
import android.view.View;
import android.widget.TextView;

public class MainActivity extends AppCompatActivity {
    int beg;
    int k;
    int now;
    long t;

    static {
        System.loadLibrary("lhm");
    }

    public MainActivity() {
        super();
        this.beg = (((int)(System.currentTimeMillis() / 1000))) + 200000;
        this.k = 0;
        this.t = 0;
    }

    public static boolean is2(int arg4) {
        boolean v1 = true;
        if(arg4 > 3) {
            if(arg4 % 2 != 0 && arg4 % 3 != 0) {
                int v0 = 5;
                while(true) {
                    if(v0 * v0 <= arg4) {
                        if(arg4 % v0 != 0 && arg4 % (v0 + 2) != 0) {
                            v0 += 6;
                            continue;
                        }

                        return false;
                    }
                    else {
                        return v1;
                    }
                }

                return false;
            }

            v1 = false;
        }
        else if(arg4 <= 1) {
            v1 = false;
        }

        return v1;
    }

    protected void onCreate(Bundle arg7) {
        super.onCreate(arg7);
        this.setContentView(2130968600);
        View v2 = this.findViewById(2131492944);
        View v3 = this.findViewById(2131492945);
        Handler v0 = new Handler();
        v0.postDelayed(new Runnable(((TextView)v3), ((TextView)v2), v0) {
            public void run() {
                MainActivity.this.t = System.currentTimeMillis();
                MainActivity.this.now = ((int)(MainActivity.this.t / 1000));
                MainActivity.this.t = 1500 - MainActivity.this.t % 1000;
                this.val$tv2.setText("AliCTF");
                if(MainActivity.this.beg - MainActivity.this.now <= 0) {
                    this.val$tv1.setText("The flag is:");
                    this.val$tv2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this.k) + "}");
                }

                if(MainActivity.is2(MainActivity.this.beg - MainActivity.this.now)) {
                    MainActivity.this.k += 100;
                }
                else {
                    --MainActivity.this.k;
                }

                this.val$tv1.setText("Time Remaining(s):" + (MainActivity.this.beg - MainActivity.this.now));
                this.val$handler.postDelayed(((Runnable)this), MainActivity.this.t);
            }
        }, 0);
    }

    public boolean onCreateOptionsMenu(Menu arg3) {
        this.getMenuInflater().inflate(2131558400, arg3);
        return 1;
    }

    public boolean onOptionsItemSelected(MenuItem arg3) {
        boolean v1 = arg3.getItemId() == 2131492959 ? true : super.onOptionsItemSelected(arg3);
        return v1;
    }

    public native String stringFromJNI2(int arg1) {
    }
}

CTRL+F搜索一下flag,发现了flag输出语句

if(MainActivity.this.beg - MainActivity.this.now <= 0) {
                    this.val$tv1.setText("The flag is:");
                    this.val$tv2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this.k) + "}");
                }

涉及到了beg和now,去前面找

this.beg = (((int)(System.currentTimeMillis() / 1000))) + 200000; 

MainActivity.this.now = ((int)(MainActivity.this.t / 1000));

MainActivity.this.t = System.currentTimeMillis();

以上几句代码在程序中不是连续的,为了方便分析我放在了一起

接下来具体分析一下

System.currentTimeMillis():用于获取当前时间戳,java读出的数据格式,时间戳会精确到毫秒,多出3个000,除上1000等于精确到秒

beg=200000+时间戳

now=新时间戳

beg-now=200000-经过的时间

了解了flag输出条件后,去看输出

if(MainActivity.this.beg - MainActivity.this.now <= 0) {
                    this.val$tv1.setText("The flag is:");
                    this.val$tv2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this.k) + "}");
                }

                if(MainActivity.is2(MainActivity.this.beg - MainActivity.this.now)) {
                    MainActivity.this.k += 100;
                }
                else {
                    --MainActivity.this.k;
                }

这里可以看出flag涉及到k,k的运算又调用了is2函数,点进去看看

    public static boolean is2(int arg4) {
        boolean v1 = true;
        if(arg4 > 3) {
            if(arg4 % 2 != 0 && arg4 % 3 != 0) {
                int v0 = 5;
                while(true) {
                    if(v0 * v0 <= arg4) {
                        if(arg4 % v0 != 0 && arg4 % (v0 + 2) != 0) {
                            v0 += 6;
                            continue;
                        }

                        return false;
                    }
                    else {
                        return v1;
                    }
                }

                return false;
            }

            v1 = false;
        }
        else if(arg4 <= 1) {
            v1 = false;
        }

        return v1;
    }

尝试算出k,is2函数的逻辑不用看懂,直接复制进IDE就行了,上面对k的判断和计算要稍微改一下

	 public static boolean is2(int arg4) {
	        boolean v1 = true;
	        if(arg4 > 3) {
	            if(arg4 % 2 != 0 && arg4 % 3 != 0) {
	                int v0 = 5;
	                while(true) {
	                    if(v0 * v0 <= arg4) {
	                        if(arg4 % v0 != 0 && arg4 % (v0 + 2) != 0) {
	                            v0 += 6;
	                            continue;
	                        }

	                        return false;
	                    }
	                    else {
	                        return v1;
	                    }
	                }

	               // return false;
	            }

	            v1 = false;
	        }
	        else if(arg4 <= 1) {
	            v1 = false;
	        }

	        return v1;
	    }
	 
	public static void main(String[] args) {

		int time=200000;
		int k=0;
		while(time>0) {
			if (is2(time)) {
				k+=100;
			}else {
				k--;
			}
			time--;
		}
		System.out.print(k);
		
	}

}

接下来对修改的地方进行说明

int time=200000; 加上time–; 代替了原来的beg和now的运算

k+=100;k–;分别对应上面的MainActivity.this.k += 100; 和**–MainActivity.this.k;**

**System.out.print(k);**就是输出k

is2函数直接整个复制过去了,但是注意我注释掉了一行,不注释那行会报错,原因不明,知道的大佬评论说一下。

tQnVsO.png

跑出k的结果=1616384,16进制为‭0x18AA00

之后APKtool反编译一下,查看MainActivity.smali

搜索k,在54行开始看到以下内容

    .line 18
    const/4 v0, 0x0

    iput v0, p0, Lnet/bluelotus/tomorrow/easyandroid/MainActivity;->k:I

简单的讲一下smali的语法

const/4将4位常量存入寄存器

iput将寄存器的值赋给int型字段

这几行的意思就是定义k初值为0,那么直接修改为出现flag时的k值1616384,看看会怎么样(注意删去/4,不然数据类型不匹配编译会报错,因为

const/4是指4位常量,const就是指常量)

    .line 18
    const v0, 0x18aa00

这样还不够,注意查看MainActivity$1.smali,第113行,也就是输出flag之前

    if-gtz v0, :cond_0

if-gtz v0, :cond_0 如果v0大于0则跳转到:cond_0

本来v0是赋值0的,但是我们改为了1616384,直接把这句删掉

之后编译一下,做一下签名,拉进模拟器运行

tQ1Dp9.png

alictf{Y0vAr3TimerMa3te7}


bugku记得改格式

flag{Y0vAr3TimerMa3te7}

版权声明:本文为cf260469080原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cf260469080/article/details/106446078

智能推荐

OpenCV-Python learning-1.安装,图片读取显示

1. OpenCV与OpenGL区别 https://www.zhihu.com/question/20212016 一个是让机器识别东西的,OpenCV是给电脑做眼睛的。 一个是让机器计算出更好画面的,OpenGL用在游戏渲染方面很多。 OpenCV(Open Source Computer Vision Library)是一个基于(开源)发行的跨平台计算机视觉库,OpenGL(全写Open G...

Mycat+Mysql分布式架构改造和性能压力测试

架构实现 Mycat作为数据库高可用中间件具备很多的功能,如负载均衡,分库分表,读写分离,故障迁移等。结合项目的实际情况,分库分表功能对于关联查询有很高的要求,需要从业务角度考虑分库分表后的关联查询SQL的分析,业务代码动作较大,所以在此方案中我们不考虑分库分表。主要应用Mycat的负载均衡及故障迁移的功能即可。 整个架构改造包括两个部分,第一是单例Mysql改为多个Mysql,同时负载均衡,并且...

人脸识别之疲劳检测(二)阈值法、KNN分类和K-means聚类

Table of Contents 1、均值法 2、中值法 3、KNN 4、K-means 结合上一节在获得人眼特征点后需要对睁眼闭眼状态做出判断,方法的选择需要经验结合公平的评价方法,使用大量测试集得到不同方法下的精确度并做出比较: 1、均值法 50帧睁眼数据取均值,得到不同阈值下精确度。 2、中值法 50帧睁眼数据取中值,得到不同阈值下精确度。 3、KNN KNN是一种ML常用分类算法,通过测...

CodeForce Tic-Tac-Toe

Two bears are playing tic-tac-toe via mail. It's boring for them to play usual tic-tac-toe game, so they are a playing modified version of this game. Here are its rules. The game is played on the foll...

Python雾里看花-抽象类ABC (abstract base class)

首先认识模块 abc,python中没有提供抽象类与抽象方法,然而提供了内置模块abc来模拟实现抽象类,例如提供泛映射类型的抽象类 abc.MutableMapping 继承abc.MutableMapping构造一个泛映射类型(类似python中的dict) 当然继承abc.Mapping 也可以,毕竟MutableMapping是其子类 dict是python中典型的映射类型数据结构,其接口的...

猜你喜欢

python 文件操作

2, with open (‘xx.txt’,‘w’,encoding=‘utf-8’) as f: f.write(‘文件内容或对象’)...

【Python基础】使用统计函数绘制简单图形

机器学习算法与自然语言处理出品 @公众号原创专栏作者 冯夏冲 学校 | 哈工大SCIR实验室在读博士生 2.1 函数bar 用于绘制柱状图 2.2 函数barh 用于绘制条形图 2.3 函数hist 用于绘制直方图 直方图与柱状图的区别 函数pie 用于绘制饼图 2.5 函数polor 用于绘制极线图 极线图是在极坐标系上绘出的一种图。在极坐标系中,要确定一个点,需要指明这个点距原点的角...

css:顶部按钮固定,上面内容滑动

这种需求我们平时见到很多的,实现方法也多的参差不齐,下面我说一种简单的。如图: 可以看到只有红线部分滚动,底下按钮是固定的。 代码...

环形公路堵车概率模型(含详细解析)

文章目录 基础理论 代码实现 图形分析 基础理论 路面上有n辆车,以不同的速度向前行驶, 模拟堵车问题。 有以下假设: 假设某辆车的当前速度是v。 若前方可见范围内没车,则它在下一秒的车速提高到v+1,直到达到规定的最高限速。 若前方有车,前车的距离为d,且d < v,则它下 一秒的车速降低到d-1 。 每辆车会以概率p随机减速v-1。、 代码实现 图形分析 图形中颜色越重的地方,说明很多车...

JavaScript事件处理的例题

知道的越多,所不知道的越多。如果带给你帮助,点赞支持一下。 JavaScript事件处理的例题 1、表单验证 2、验证数字输入 3、利用document对象的bgColor属性改变背景色,添加鼠标悬停事件 4.附加题(选做) 1、表单验证 要求:用户名不少于2位,并且用户名第一个字符需为字母! 密码长度必须在6~15之间。 2、验证数字输入 如果输入的值 x 不是数字或者小于 1 或者大于 10,...