- 1java必学8大排序_排序必java
- 2三天让车跑起来!stm32寻迹车——第三天:如何让车跑得更好?_stm32智能小车 米字格绿色拐弯
- 3OpenCV与AI深度学习 | 如何使用YOLOv9检测图片和视频中的目标_ai视频分析 yolo
- 4Unity-Flutter(UIWidgets)萌新入门学习记录--Hello Word_unity中运行flutter
- 5Vue核心 — Vue2响应式原理和核心源码解析(核心中的核心)_vue2 源码响应是
- 6python俄罗斯方块游戏代码_pygame俄罗斯方块代码
- 7SequoiaDB集群部署简易步骤_sequoiadb配置集群
- 8自然语言处理(NLP)——前馈网络_前馈网络什么意思
- 9我用wxPython搭建GUI量化系统之多只股票走势对比界面_股票量化实践 网盘
- 10Java--Mybatis万字长文经典面试题王者笔记《收藏版》_java 什么插件可以自动生成insert语句
DASCTF-BabyAndroid
赞
踩
一个apk文件
下载下运行不出来
题目有提示
这是截取的信息
第一次写,我就按照大佬的wp思路来
首先我们确定
Host: yuanshen.com
这个信息
jeb打开,搜索
成功锁定到有价值的信息
- protected String doInBackground(String[] params) {
- String contentText = params[0];
- try {
- ByteBuffer byteBuffer0 = ByteBuffer.wrap(NoteActivity.this.loadData("Sex.jpg"));
- Class class0 = (Build.VERSION.SDK_INT < 26 ? null : new InMemoryDexClassLoader(byteBuffer0, NoteActivity.this.getClassLoader())).loadClass("site.qifen.note.ui.Encrypto");
- Method method0 = class0.getMethod("encrypt", String.class);
- NoteActivity.this.contentText_back = contentText;
- String cipher = (String)method0.invoke(class0.getDeclaredConstructor().newInstance(), NoteActivity.this.sendInit(contentText));
- Log.d("JNITest", "Server Response: " + sendRequest.sendPost("http://yuanshen.com/", "data=" + cipher));
- return cipher;
- }
- catch(Exception e) {
- e.printStackTrace();
- return null;
- }
- }
首先用一个JPG文件?
查看一下loaddate
一个RC4
Class class0 = (Build.VERSION.SDK_INT < 26 ? null : new InMemoryDexClassLoader(byteBuffer0, NoteActivity.this.getClassLoader())).loadClass("site.qifen.note.ui.Encrypto");又加载了一个函数
我们去寻找一下
只发现了这个 encry0(注意原函数引用的o)
这是看出来了,是一个AES加密
可以看见这个keybytes16,被赋值了
它才是密钥,但是我们找不到这个值,也没找到相关的引用
同时DSACTF是初始的key
但是长度也够16的倍数
所以我们还是需要去找到encryo这个函数
先继续分析
这里用了invoke还有sendinint函数
我们找一下(换到JADX)
可以看见invoke就是一个check格式
在library的库中
这里我们可以看见就只要一个so文件
我们现在来理一下:
三个过程---jpg的函数-----encryo-------sendinit函数
一个一个来
jpg
很容易就找到他
用010把他的16进制倒出来
放厨子里面去
厨子自动识别出来了这是dex文件
我们导出这个文件
!
这里就是我们要的encrypto函数
- package site.qifen.note.p000ui;
-
- import android.util.Base64;
- import javax.crypto.Cipher;
- import javax.crypto.spec.SecretKeySpec;
-
- /* renamed from: site.qifen.note.ui.Encrypto */
- /* loaded from: C:\Users\15598\Desktop\download.dex */
- public class Encrypto {
- private static final String KEY = "DSACTF";
- private static final String TAG = "Encrypto";
-
- private static byte[] customHash(String input) {
- byte[] keyBytes = new byte[16];
- int[] temp = new int[16];
- for (int i = 0; i < input.length(); i++) {
- int charVal = input.charAt(i);
- for (int j = 0; j < 16; j++) {
- temp[j] = ((temp[j] * 31) + charVal) % 251;
- }
- }
- for (int i2 = 0; i2 < 16; i2++) {
- keyBytes[i2] = (byte) (temp[i2] % 256);
- }
- return keyBytes;
- }
-
- public static String encrypt(String data) throws Exception {
- byte[] keyBytes = customHash(KEY);
- SecretKeySpec secretKeySpec = new SecretKeySpec(keyBytes, "AES");
- Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
- cipher.init(1, secretKeySpec);
- byte[] encryptedBytes = cipher.doFinal(data.getBytes("UTF-8"));
- return Base64.encodeToString(encryptedBytes, 2);
- }
- }
分析可知
对密钥进行了操作
我们直接复制粘贴
- import java.security.Key;
-
- public class Main {
- private static final String key = "DASCTF";
-
- private static byte[] customHash(String input) {
- byte[] keyBytes = new byte[16];
- int[] temp = new int[16];
- for (int i = 0; i < input.length(); i++) {
- int charVal = input.charAt(i);
- for (int j = 0; j < 16; j++) {
- temp[j] = ((temp[j] * 31) + charVal) % 251;
- }
- }
- for (int i2 = 0; i2 < 16; i2++) {
- keyBytes[i2] = (byte) (temp[i2] % 256);
- }
- return keyBytes;
- }
-
- public static void main(String[] args) {
- byte[] hashResult1 = customHash("DSACTF");
- // 打印第一个哈希结果
- System.out.print("Hash result 1: ");
- for (byte b : hashResult1) {
- System.out.printf("%02X", b);
- }
- System.out.println(); // 换行
-
- }
- }
这里有个草鸡大坑
输入的key是DSACTF
这个比赛叫DASCTF
我服了
_________
Hash result 1: 0D0D0D0D0D0D0D0D0D0D0D0D0D0D0D0D
这里为什么要加0呢,因为我们AES解密需要的是16位
你不可能加个X吧
所以我们加0
同理
厨子
得到了很多的,浮点数?
458.853181,-18.325492,-18.251911,-2.097520,-21.198660,-22.304648,21.103162,-5.786284,-15.248906,15.329286,16.919499,-19.669045,30.928253,-37.588034,-16.593954,-5.505211,3.014744,6.553616,31.131491,16.472500,6.802400,-78.278577,15.280099,3.893073,56.493581,-34.576344,30.146729,4.445671,6.732204
我们再看最后一个函数
直接IDA打开so文件
没见过的函数
但是这个cos出现什么的
叫啥余弦变换,我听都没听过,我勒个骚刚
- import cv2
- import numpy as np
-
- # 定义一个输入的频谱(DCT-II变换的结果)
- spectrum = np.array([458.853181,-18.325492,-18.251911,-2.097520,-21.198660,-22.304648,21.103162,-5.786284,-15.248906,15.329286,16.919499,-19.669045,30.928253,-37.588034,-16.593954,-5.505211,3.014744,6.553616,31.131491,16.472500,6.802400,-78.278577,15.280099,3.893073,56.493581,-34.576344,30.146729,4.445671,6.732204], dtype=np.float32)
-
- # 对频谱进行逆变换
- signal = cv2.idct(spectrum).tolist()
-
- for num in signal:
- print(chr(round(num[0])),end='')# round对浮点数四舍五入,第二个参数可指定保留小数位数,默认不保留小数
-
____________
这场比赛蛮不错的,我感觉,难度其实硬要说,不是很大,可惜我只写了一题,下次加油!
