2. 程式人生 > >bugKuCTF第四道reverse題目Timer(阿里CTF)writeup

bugKuCTF第四道reverse題目Timer(阿里CTF)writeup

阿新 發佈:2019-01-07

題目截圖:


解析:

apk安裝之後出現一個讀秒的,20萬秒,大於3600,所以大於一個小時,所以太慢了,不等了。

jeb反編譯,MainActivity程式碼:

package net.bluelotus.tomorrow.easyandroid;

import android.os.Bundle;
import android.os.Handler;
import android.support.v7.app.AppCompatActivity;
import android.view.Menu;
import android.view.MenuItem;
import android.view.View;

public
 
 class MainActivity extends AppCompatActivity {
    int beg;
    int k;
    int now;
    long t;

    static {
        System.loadLibrary("lhm");
    }

    public MainActivity() {
        super();
        this.beg = (((int)(System.currentTimeMillis() / 1000))) + 200000;
        this.k = 0;
        this.t = 0;
    }

    public
 
 static boolean is2(int n) {
        boolean v1 = true;
        if(n > 3) {
            if(n % 2 != 0 && n % 3 != 0) {
                int v0 = 5;
                while(true) {
                    if(v0 * v0 <= n) {
                        if(n % v0 != 0 && n % (v0 + 2) != 0) {
                            v0 += 6
 
;
                            continue;
                        }

                        return false;
                    }
                    else {
                        return v1;
                    }
                }

                return false;
            }

            v1 = false;
        }
        else if(n <= 1) {
            v1 = false;
        }

        return v1;
    }

    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        this.setContentView(2130968600);
        View v2 = this.findViewById(2131492944);
        View v3 = this.findViewById(2131492945);
        Handler v0 = new Handler();
        v0.postDelayed(new Runnable() {
            public void run() {
                MainActivity.this.t = System.currentTimeMillis();
                MainActivity.this.now = ((int)(MainActivity.this.t / 1000));
                MainActivity.this.t = 1500 - MainActivity.this.t % 1000;
                this.val$tv2.setText("AliCTF");
                if(MainActivity.this.beg - MainActivity.this.now <= 0) {
                    this.val$tv1.setText("The flag is:");
                    this.val$tv2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this
                            .k) + "}");
                }

                if(MainActivity.is2(MainActivity.this.beg - MainActivity.this.now)) {
                    MainActivity.this.k += 100;
                }
                else {
                    --MainActivity.this.k;
                }

                this.val$tv1.setText("Time Remaining(s):" + (MainActivity.this.beg - MainActivity.this
                        .now));
                this.val$handler.postDelayed(((Runnable)this), MainActivity.this.t);
            }
        }, 0);
    }

    public boolean onCreateOptionsMenu(Menu menu) {
        this.getMenuInflater().inflate(2131558400, menu);
        return 1;
    }

    public boolean onOptionsItemSelected(MenuItem item) {
        boolean v1 = item.getItemId() == 2131492959 ? true : super.onOptionsItemSelected(item);
        return v1;
    }

    public native String stringFromJNI2(int arg1) {
    }
}

關鍵點:

if(MainActivity.this.beg - MainActivity.this.now <= 0) {
                    this.val$tv1.setText("The flag is:");
                    this.val$tv2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this
                            .k) + "}");
                }

找到beg和now的點:

public MainActivity() {
        super();
        this.beg = (((int)(System.currentTimeMillis() / 1000))) + 200000;//開啟activity時候的時間(除以1000,所以是秒為單位)再加上200000,即200000+當前時間對應的秒
        this.k = 0;
        this.t = 0;
    }

以及MainActivity.this.now = ((int)(MainActivity.this.t / 1000));即判斷的時候的秒 
那麼beg - now就是200000+開始的時間-判斷的時間,也就是200000-已經過去的時間,所以就是如果過去了200000秒,就可以出現flag了。 
呈現flag是通過native層的this.val$tv2.setText("alictf{" + MainActivity.this.stringFromJNI2(MainActivity.this 
.k) + "}");也就是stringFromJNI2來呈現的,我們不必逆向so,這個引數是一個k,如果真的去等200000秒(雖然不可能),那麼這裡的k應該是多少呢?

跟k相關的兩個關鍵點如下:

 public static boolean is2(int n) {
        boolean v1 = true;
        if(n > 3) {
            if(n % 2 != 0 && n % 3 != 0) {
                int v0 = 5;
                while(true) {
                    if(v0 * v0 <= n) {
                        if(n % v0 != 0 && n % (v0 + 2) != 0) {
                            v0 += 6;
                            continue;
                        }

                        return false;
                    }
                    else {
                        return v1;
                    }
                }

                return false;
            }

            v1 = false;
        }
        else if(n <= 1) {
            v1 = false;
        }

        return v1;
    }



 if(MainActivity.is2(MainActivity.this.beg - MainActivity.this.now)) {
                    MainActivity.this.k += 100;
                }
                else {
                    --MainActivity.this.k;
                }

總結思路:通過beg - now代入is2函式對k進行操作,200000,需要一秒一秒的操作,而我們,直接通過寫程式碼模擬出200000的結果,找到k,然後改動k值,直接呼叫,就可以得到flag了。

程式碼

is2是用java寫的,懶得看邏輯,直接複製到java裡邊:

package test;

public class Main {

    public static boolean is2(int n) {
        boolean v1 = true;
        if(n > 3) {
            if(n % 2 != 0 && n % 3 != 0) {
                int v0 = 5;
                while(true) {
                    if(v0 * v0 <= n) {
                        if(n % v0 != 0 && n % (v0 + 2) != 0) {
                            v0 += 6;
                            continue;
                        }

                        return false;
                    }
                    else {
                        return v1;
                    }
                }
            }

            v1 = false;
        }
        else if(n <= 1) {
            v1 = false;
        }

        return v1;
    }

    public static void main(String args[]) {
        int time = 200000;
        int k = 0;
        while (time > 0) {
            if (is2(time)) {
                k += 100;
            }
            else {
                k--;
            }
            time--;
        }
        System.out.println(k);
    }

}

執行得到k值,然後apktool 反編譯原apk,更改smali,兩個點:

  • 將輸出flag的條件反過來,即MainActivity$1.smali中的if-gtz v0, :cond_0這句話(後面是輸出The Flag Is那裡的跳轉)改為if-ltz v0, :cond_0
  • 將k值改為常量,即上文提到的smali檔案中的iget v3, v3 ....(省略);->k:I之後新增const v3, 1616384

重新打包,簽名,安裝,得到flag為alictf{Y0vAr3TimerMa3te7}

轉載自:https://blog.csdn.net/qq_29343201/article/details/51607527

相關推薦

bugKuCTFreverse題目Timer(阿里CTF)writeup

題目截圖:解析:apk安裝之後出現一個讀秒的,20萬秒,大於3600,所以大於一個小時,所以太慢了,不等了。jeb反編譯,MainActivity程式碼:package net.bluelotus.tomorrow.easyandroid; import android.o

bugkuCTF平臺逆向題逆向入門題解

題目連結: tips: 雙擊無法執行 提示版本不對(win10) 查殼顯示不是有效的PE檔案 用WinHex開啟顯示 一看發現是圖片的base64編碼 可以這樣 <img src="data:image/png;base64,這裡放字元"/> 將文件

華為程式設計題(108)--cin>>hex>>a的用法

一.count函式 algorithm標頭檔案定義了一個count的函式,其功能類似於find。這個函式使用一對迭代器和一個值做引數,返回這個值出現次數的統計結果。 編寫程式讀取一系列in

js五經典練習題--qq好友列表

<!DOCTYPE html><html><head><meta charset="UTF-8"><title></title><style>*{margin: 0;padding: 0;}u

天(41題全解)

rom blog str case 循環 clas 同名 http name 41道題: 重要的 連表查詢 分組 制表語句: 班級表 Table: class Create Table: CREATE TABLE

屆藍橋杯比賽題目——風扇控制系統

black play 程序說明 sign 狀態機 stat mode led 可用 /* 程序說明: 第七屆省賽風扇控制系統 軟件環境: Keil uVision 4.10 硬件環境: CT107單片機綜合實訓平臺(內部晶振11.0592MHZ) STC15F2

【.NET Core專案實戰-統一認證平臺】章 閘器篇-資料庫儲存配置(2)

【.NET Core專案實戰-統一認證平臺】開篇及目錄索引 上篇文章我們介紹瞭如何擴充套件Ocelot閘道器,並實現資料庫儲存,然後測試了閘道器的路由功能,一切都是那麼順利,但是有一個問題未解決,就是如果閘道器配置資訊發生變更時如何生效?以及我使用其他資料庫儲存如何快速實現?本篇就這兩個問題展開講解,

阿里雲總監課期:軟硬體全棧專家褚霸攜專家團獨家分享彈性計算最佳實踐

對於很多公共雲使用者來說,彈性計算是上雲第一站。課程由彈性計算一線專家團隊傾力打造,以理論講解和實際操作結合的方式,從省錢竅門、使用誤區等角度切入,覆蓋背後的技術原理和架構方案,在帶您找到彈性計算最佳開啟方式的同時,讓您建立起完善的知識體系。 課程亮點  全方位展示彈性計算省錢竅門 直擊使用者的核心關

阿里雲linux伺服器------章:安裝java,tomcat

安裝 JDK JDK 是開發Java程式必須安裝的軟體,我們檢視一下 yum 源裡面的 JDK: yum list java* 選擇適合本機的JDK,並安裝: yum install java-1.7.0-openjdk* -y 註釋:(* 空格-y) 紅色部分可

阿里雲總監課期】時髦的雲原生應用怎麼寫?

概述應用已經跨入了雲原生的時代。要寫一個時髦的雲原生應用,首先當然要了解什麼是雲原生。CNCF,也就是雲原生計算基金會,作為目前人氣最旺的雲端計算行業協會,在今年6月份給出了雲原生的定義,阿里雲牽頭做了一個官方的翻譯: “雲原生技術有利於各組織在公有云、私有云和混合雲等新型動態環境中,構建和執行可彈性擴充套

阿里雲總監課期,時髦的雲原生應用怎麼寫?

概述 應用已經跨入了雲原生的時代。要寫一個時髦的雲原生應用,首先當然要了解什麼是雲原生。CNCF,也就是雲原生計算基金會,作為目前人氣最旺的雲端計算行業協會,在今年6月份給出了雲原生的定義,阿里雲牽頭做了一個官方的翻譯: “雲原生技術有利於各組織在公有云、私有云和混合雲等新型動態環境中,

20181020學習筆記——解決的一個Reverse題目

解決的第一個Reverse題目 題目描述 題目給了一個名為rev1的檔案,沒有後綴。 檔案的下載地址: 結題過程 第一次做Reverse題目,一臉矇蔽,我首先嚐試把字尾改為.exe,結果,不能執行。。。。可能不是Windows系統檔案。 我轉到虛擬機器裡,開啟Li

bugkuCTF平臺逆向題遊戲過關題解

題目連結: tips 查殼發現無殼(截圖略) OD載入 發現有兩個重要的段 0x001 0x002 分析處0x001每次輸入n的值都會有隻有那一個跳轉調向它 那麼我們直接修改跳轉地址指向我們的0x002的段首試一下 成功跳轉後直接F8單步向下跟 如果遇到向上跳轉

集體通宵發版怎麼破?阿里敏捷教練開出“藥方”

阿里妹導讀:忙不完的事情,解不完的bug,每次發版都得集體熬個大通宵。幹得多,結果還不好。相信絕

章 C++簡單題目

C4-1 最大公約數   (100/100 分數) 題目描述 求兩個正整數a 和 b的最大公約數。 要求使用c++ class編寫程式。 輸入描述 兩個正整數a,b,並且1=<a,b <=10000 輸出描述 a和b的最大公約數 樣例輸入

《學習之章組塊的形成1,先把註意力集中

一個 拼接 拼圖 整體 理解 包含 如果 所在 情況   當你第一次遇到科學或數學中的全新概念時,往往不知其所雲,就像看見拼圖碎片一樣。   如果不理解含義,也不考慮其所在的背景,僅記憶一個事實,是不能幫你理清頭緒的,或者說,你仍不會明白一個概念是如何與其他已學的概念拼合在

2016計蒜之初賽場---------淘寶流量分配【水題】

在每年的淘寶“雙十一”時,訪問量都會暴漲,伺服器的請求會被流量分配程式按照一定策略,分發給不同的程序去處理。有一類請求,有兩個程序可以接受分發的請求,其中一個程序所在伺服器的配置、網路傳輸效能等都要優於另一個程序。流量分發程式可以知道佇列中每個任務的預計處理時間,每次都會盡

屆藍橋杯本科B組省賽題目解析

一、題目標題: 高斯日記     大數學家高斯有個好習慣:無論如何都要記日記。     他的日記有個與眾不同的地方,他從不註明年月日,而是用一個整數代替,比如:4210     後來人們知道,那個整數就是日期,它表示那一天是高斯出生後的第幾天。這或許也是個好習慣,它時時刻

山東省屆藍橋杯 ///題目標題: 高斯日記//c/c++組

題目標題: 高斯日記     大數學家高斯有個好習慣:無論如何都要記日記。     他的日記有個與眾不同的地方,他從不註明年月日,而是用一個整數代替,比如:4210     後來人們知道,那個整數就是日期,它表示那一天是高斯出生後的第幾天。這或許也是個好習慣,它時時刻刻提

題目:某個公司採用公用電話傳遞資料,資料是位的整數,在傳遞過程中是加密的,加密規則如下:每位數字都加上5,然後用和除以10的餘數代替該數字,再將第一位和第四位交換,第二位和三位交換。

題目:某個公司採用公用電話傳遞資料,資料是四位的整數,在傳遞過程中是加密的, 加密規則如下:每位數字都加上5,然後用和除以10的餘數代替該數字,再將第一位和第四位交換,第二位和第三位交換。package