划重点：关注公众号，后台回复crackme，获得本题apk～

题目来源：

2016 ZCTF Android题

题目：

安装包是5.apk，要求获得flag

知识点：

Frida/objection、IDA dump内存、图片隐写

解题过程：

首先说明下Frida的使用可以参考“逆向基础十九：Android之Frida框架”这篇文章。

IDA dump内存的方法可以参考“逆向基础二十一：ART环境下使用IDA脚本脱壳”这篇文章。

安装APK并运行，用户名已自动填好，我们随机输入密码，提示“Auth Fail”，根据字符串找到如下代码。调用auth方法判断验证是否成功，auth有两个核心参数，一个是将用户名和密码拼接的字符串作为input，另一个的databaseopt方法的返回值作为passwd。

我们直接上objection获取databaseopt方法的返回值，如下所示，直接出结果。

我们再跟踪auth方法实现，代码如下，对input和passwd调用encrypt进行加密，然后将assets目录下的flag_bin文件字节流与之对比，相等则返回真。

令人欣慰的是解密函数已经帮我们写好了，如下所示。

这样我们可以直接用AndroidStudio写逆向代码，核心代码如下，直接打印密码。

上环境验证如下所示可以直接登录，APP进入另外一个Activity后，一会儿就退出了。继续回到之前分析的代码，auth方法调用成功后，会调用如下openNewActivity方式，且将上面求解出的密码作为参数，而该方法打开app这个Acitivity。

我们利用objection也可以得到如上结论。

下面开始分析app这个Activity。第一步，调用CheckOperatorNameAndroid方法，该方法里创建了个定时器，并调用getTaskId方法，返回值非0会直接kill掉apk。

利用frida先hook下getTaskId方法，如下所示，hook成功，该方法返回非0值，导致apk直接退出。

我们利用frida修改getTaskId返回值为0，此时APK进入如下界面。

继续分析app这个Activity的OnCreate函数，第二步调用native的add函数，如果返回1，也会apk退出，查看so中add函数，它调用了add_0函数，核心代码如下，检测程序是否被跟踪，如果被跟踪，则会导致apk退出。

OnCreate函数第三步，调用pushthebottom和sayHelloInc方法，其中pushthebottom代码如下，主要是把assets下文件保存到data目录自己的pkg下。

所以我们可以先用frida直接先hook下native函数sayHelloInc，看看什么效果，代码和测试结果如下。

我们先看下native函数sayHelloInc的流程，它是先调用add_0做下环境检测，如果没有被trace，则执行如下核心代码，打开之前pushthebottom方法生成的文件，并利用前面得到的passwd，调用DES_Decrypt对文件在内存中进行解码，解码完free内存。我们可以看出DES_Decrypt的最后一个参数就保存了解码后的信息，第二个参数是长度。

本来我们是打算直接利用frida去hook住native层的Java_com_zctf_app_JNIclass_add_0函数统一过反调试的，如下所示。

但是没有hook成功，根据如下打印发现，Java_com_zctf_app_JNIclass_add_0符号并没有导出，所以无法直接hook到Java_com_zctf_app_JNIclass_add_0，只能hook到Java_com_zctf_app_JNIclass_add，而该函数可以直接在Java层去hook。

因为环境没法同时开frida和ida，此时我们打算直接修改原APK，利用AK工具，删除APK中的反调试代码，最终删除反调试后的代码如下所示。

这时我们利用IDA动态调试so中sayHelloInc方法，首先在如下代码处修改CBZ为CBNZ过反调试。补充说明下CBNZ的机器码是B9，CBZ的机器码是B1，BNE的机器码是D1, BEQ的机器码是D0。

然后运行到DES_Decrypt前，可以看到R1的值，即为解密后文件长度。

接着在free前，我们可以看到R7指向的地址空间开头是个.PNG，说明它是个png文件。

然后我们使用IDA脚本直接dump出这个内存，代码如下。

最后我们利用图片隐写查看神器stegsolve 打开dump.png，点击箭头，查看得到flag，如下所示。

扫码关注，一起学习