[原创]ctf2017第六题设计思路与解题思路-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]ctf2017第六题设计思路与解题思路

发表于: 2017-5-26 17:23 6161

[原创]ctf2017第六题设计思路与解题思路

Ericky

2017-5-26 17:23

6161

这道题主要需要花时间搞清楚套路，就迎刃而解了。^_^

1.java层稍作字符串加密和类名方法名混淆处理(本来是打算java层也做点文章的@_@)

解题：通过阅读代码，可以知道check函数为关键函数，当返回为真的时候，注册成功。

2.so层用花指令对程序指令进行混淆，在一定程度上防止分析。

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

kanxue.apk （901.91kb，79次下载）

收藏・1

免费・1

支持

最新回复 (30) 1 2 ▶
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 2 楼看别人写的设计思路都挺详细的，我也重新写了个解题的脚本，这里附上。 @kanxue 2017-6-10 18:53 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 3 楼附件不显示上传的附件：看雪CTF 2017 第六题设计思路和解题思路.zip （1.95MB，234次下载） 2017-6-10 18:54 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 4 楼好了 IDC脚本和IDB 都在里面 2017-6-10 18:55 0
追风燕子雪币： 234 活跃值： (927) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	追风燕子 1 5 楼 java层还好，通过调用当前线程的StackTrace信息来反射调用方法去解密字符串，我是直接写java代码反射调用提取的class文件，发现当前线程不同，取的StackTrace信息里的方法也取不到，另so里的花太多了，也不会写脚本 2017-6-13 14:19 0
Bet 雪币： 53 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	Bet 6 楼 Ericky 好了 IDC脚本和IDB 都在里面 SO里面的字符串加密实现，一个字符串一个函数。请教这个是如何做到的呢，一般都是用宏实现的一个固定的解密函数。 2017-6-13 17:58 0
ccfer 雪币： 8209 活跃值： (4559) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 109 关注私信	ccfer 16 7 楼我想说这个题有个意外解：madebyericky94528T 就是原解末尾可以多加个T 2017-6-13 18:13 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 8 楼追风燕子 java层还好，通过调用当前线程的StackTrace信息来反射调用方法去解密字符串，我是直接写java代码反射调用提取的class文件，发现当前线程不同，取的StackTrace信息里的方法也取不到 ... 脚本在附件里 2017-6-13 19:48 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 9 楼 Bet SO里面的字符串加密实现，一个字符串一个函数。请教这个是如何做到的呢，一般都是用宏实现的一个固定的解密函数。没有考到这个字符串解密哦 2017-6-13 19:48 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 10 楼 ccfer 我想说这个题有个意外解：madebyericky94528T 就是原解末尾可以多加个T 尴尬。。。被发现了。是的哭了。。再也不用这个编码了太坑了 2017-6-13 19:49 0
supercolin 雪币： 1711 活跃值： (516) 能力值： ( LV12，RANK：200 ) 在线值：发帖 11 回帖 133 粉丝 11 关注私信	supercolin 1 11 楼当我发现so里花太多的时候就放弃了F5，直接动态跟踪读汇编了。另，还有个重试次数不能超6的检查~ 2017-6-13 21:39 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 12 楼 supercolin 当我发现so里花太多的时候就放弃了F5，直接动态跟踪读汇编了。另，还有个重试次数不能超6的检查~ 恩是的，这种做法跟我的想法不一样。可能算法太简单啦，以后我要汲取教训。嘿嘿辛苦 2017-6-13 21:44 0
houjingyi 雪币： 5640 活跃值： (8043) 能力值： ( LV15，RANK：531 ) 在线值：发帖 31 回帖 107 粉丝 346 关注私信	houjingyi 11 13 楼楼主，我用了你的脚本还是有跳转没有识别？ 2017-6-13 22:16 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 14 楼 houjingyi 楼主，我用了你的脚本还是有跳转没有识别？把不能识别的函数要删掉要不IDA识别不了 2017-6-13 22:38 0
Bet 雪币： 53 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	Bet 15 楼 Ericky 没有考到这个字符串解密哦恩恩，想学习下这块字符串加密的处理. 2017-6-14 01:41 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 16 楼楼主，我照着你的idc的脚本运行了，发现ida view和hex文件确实去花了，但是点F5的时候还是没变，这是怎么回事？这是显示已经去花的view 然后这是F5之后的，和以前一样，没有去花。 2017-6-14 16:38 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 17 楼小熊ppt 楼主，我照着你的idc的脚本运行了，发现ida view和hex文件确实去花了，但是点F5的时候还是没变，这是怎么回事？这是显示已经去花的view然后这是F5之后的，和以前一样，没有去花。把中间被识别成"函数"的块都要删掉就可以了 2017-6-14 17:45 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 18 楼 Ericky 把中间被识别成"函数"的块都要删掉就可以了是在脚本里改吗，没看到啊，原谅我比较小白T^T 2017-6-14 18:03 0
wingsbupt 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	wingsbupt 19 楼好的 2017-6-14 18:07 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 20 楼 wingsbupt 在IDA内怎么删除函数？ edit->function->delete function 2017-6-14 18:13 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 21 楼小熊ppt edit->function->delete function 嗯对的 2017-6-14 20:11 0
wingsbupt 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	wingsbupt 22 楼小熊ppt edit->function->delete function 你有修改成功吗？ 2017-6-15 11:11 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 23 楼 wingsbupt 你有修改成功吗？没，还是没用T^T 2017-6-15 11:23 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 24 楼 Ericky 把中间被识别成"函数"的块都要删掉就可以了能说的再详细点吗 2017-6-15 11:24 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 25 楼小熊ppt 能说的再详细点吗把check函数之间被IDA误识别成函数的"函数"全部delete掉，再F5 2017-6-15 11:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Ericky

发帖

276

回帖

360

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 2 楼看别人写的设计思路都挺详细的，我也重新写了个解题的脚本，这里附上。 @kanxue 2017-6-10 18:53 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 3 楼附件不显示上传的附件：看雪CTF 2017 第六题设计思路和解题思路.zip （1.95MB，234次下载） 2017-6-10 18:54 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 4 楼好了 IDC脚本和IDB 都在里面 2017-6-10 18:55 0
追风燕子雪币： 234 活跃值： (927) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	追风燕子 1 5 楼 java层还好，通过调用当前线程的StackTrace信息来反射调用方法去解密字符串，我是直接写java代码反射调用提取的class文件，发现当前线程不同，取的StackTrace信息里的方法也取不到，另so里的花太多了，也不会写脚本 2017-6-13 14:19 0
Bet 雪币： 53 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	Bet 6 楼 Ericky 好了 IDC脚本和IDB 都在里面 SO里面的字符串加密实现，一个字符串一个函数。请教这个是如何做到的呢，一般都是用宏实现的一个固定的解密函数。 2017-6-13 17:58 0
ccfer 雪币： 8209 活跃值： (4559) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 109 关注私信	ccfer 16 7 楼我想说这个题有个意外解：madebyericky94528T 就是原解末尾可以多加个T 2017-6-13 18:13 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 8 楼追风燕子 java层还好，通过调用当前线程的StackTrace信息来反射调用方法去解密字符串，我是直接写java代码反射调用提取的class文件，发现当前线程不同，取的StackTrace信息里的方法也取不到 ... 脚本在附件里 2017-6-13 19:48 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 9 楼 Bet SO里面的字符串加密实现，一个字符串一个函数。请教这个是如何做到的呢，一般都是用宏实现的一个固定的解密函数。没有考到这个字符串解密哦 2017-6-13 19:48 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 10 楼 ccfer 我想说这个题有个意外解：madebyericky94528T 就是原解末尾可以多加个T 尴尬。。。被发现了。是的哭了。。再也不用这个编码了太坑了 2017-6-13 19:49 0
supercolin 雪币： 1711 活跃值： (516) 能力值： ( LV12，RANK：200 ) 在线值：发帖 11 回帖 133 粉丝 11 关注私信	supercolin 1 11 楼当我发现so里花太多的时候就放弃了F5，直接动态跟踪读汇编了。另，还有个重试次数不能超6的检查~ 2017-6-13 21:39 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 12 楼 supercolin 当我发现so里花太多的时候就放弃了F5，直接动态跟踪读汇编了。另，还有个重试次数不能超6的检查~ 恩是的，这种做法跟我的想法不一样。可能算法太简单啦，以后我要汲取教训。嘿嘿辛苦 2017-6-13 21:44 0
houjingyi 雪币： 5640 活跃值： (8043) 能力值： ( LV15，RANK：531 ) 在线值：发帖 31 回帖 107 粉丝 346 关注私信	houjingyi 11 13 楼楼主，我用了你的脚本还是有跳转没有识别？ 2017-6-13 22:16 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 14 楼 houjingyi 楼主，我用了你的脚本还是有跳转没有识别？把不能识别的函数要删掉要不IDA识别不了 2017-6-13 22:38 0
Bet 雪币： 53 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	Bet 15 楼 Ericky 没有考到这个字符串解密哦恩恩，想学习下这块字符串加密的处理. 2017-6-14 01:41 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 16 楼楼主，我照着你的idc的脚本运行了，发现ida view和hex文件确实去花了，但是点F5的时候还是没变，这是怎么回事？这是显示已经去花的view 然后这是F5之后的，和以前一样，没有去花。 2017-6-14 16:38 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 17 楼小熊ppt 楼主，我照着你的idc的脚本运行了，发现ida view和hex文件确实去花了，但是点F5的时候还是没变，这是怎么回事？这是显示已经去花的view然后这是F5之后的，和以前一样，没有去花。把中间被识别成"函数"的块都要删掉就可以了 2017-6-14 17:45 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 18 楼 Ericky 把中间被识别成"函数"的块都要删掉就可以了是在脚本里改吗，没看到啊，原谅我比较小白T^T 2017-6-14 18:03 0
wingsbupt 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	wingsbupt 19 楼好的 2017-6-14 18:07 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 20 楼 wingsbupt 在IDA内怎么删除函数？ edit->function->delete function 2017-6-14 18:13 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 21 楼小熊ppt edit->function->delete function 嗯对的 2017-6-14 20:11 0
wingsbupt 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	wingsbupt 22 楼小熊ppt edit->function->delete function 你有修改成功吗？ 2017-6-15 11:11 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 23 楼 wingsbupt 你有修改成功吗？没，还是没用T^T 2017-6-15 11:23 0
小熊ppt 雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	小熊ppt 24 楼 Ericky 把中间被识别成"函数"的块都要删掉就可以了能说的再详细点吗 2017-6-15 11:24 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 25 楼小熊ppt 能说的再详细点吗把check函数之间被IDA误识别成函数的"函数"全部delete掉，再F5 2017-6-15 11:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复