2018Xman夏令營(yíng)re題wp

1. crackme

package com.j.crackme;

import android.content.pm.ApplicationInfo;
import android.content.res.AssetManager;
import android.os.Bundle;
import android.support.v7.app.AppCompatActivity;
import android.util.Base64;
import android.view.View;
import android.view.View.OnClickListener;
import android.widget.Button;
import android.widget.EditText;
import android.widget.Toast;
import com.j.ctz.IMyClass;
import dalvik.system.DexClassLoader;
import java.io.BufferedOutputStream;
import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.IOException;
import java.io.InputStream;

public class MainActivity
  extends AppCompatActivity
{
  private Class clazz = null;
  
  private void a()
  {
    if (this.clazz == null)
    {
    // 調(diào)用c方法
      if (!c()) {
        return;
      }
      Object localObject = new StringBuilder();
      ((StringBuilder)localObject).append(getApplicationInfo().dataDir);
      ((StringBuilder)localObject).append(File.separator);
      ((StringBuilder)localObject).append("files");
      ((StringBuilder)localObject).append(File.separator);
      ((StringBuilder)localObject).append("plugin.jar");
      localObject = new File(((StringBuilder)localObject).toString()).getAbsolutePath();
      String str = getApplicationInfo().dataDir;
      try
      {
        DexClassLoader localDexClassLoader = new dalvik/system/DexClassLoader;
        localDexClassLoader.<init>((String)localObject, str, null, getClassLoader());
        // 加載plugin.jar里的class給clazz
        this.clazz = localDexClassLoader.loadClass("com.j.base.MyClass");
      }
      catch (Exception localException)
      {
        localException.printStackTrace();
        return;
      }
    }
  }
  // c方法功能:先對(duì)每個(gè)字節(jié)異或,再傳入plugin.jar
  private boolean c()
  {
    try
    {
    // 調(diào)用d方法
      byte[] arrayOfByte = d(getAssets().open("plugin"));
      if (arrayOfByte == null) {
        return false;
      }
      // 每個(gè)字節(jié)異或0xEF
      for (int i = 0; i < arrayOfByte.length; i++) {
        arrayOfByte[i] = ((byte)(byte)(arrayOfByte[i] ^ 0xEF));
      }
      BufferedOutputStream localBufferedOutputStream = new java/io/BufferedOutputStream;
      localBufferedOutputStream.<init>(openFileOutput("plugin.jar", 0));
      // 再寫(xiě)入到plugin.jar
      localBufferedOutputStream.write(arrayOfByte);
      localBufferedOutputStream.flush();
      localBufferedOutputStream.close();
      return true;
    }
    catch (Exception localException)
    {
      localException.printStackTrace();
    }
    return false;
  }
  // d方法功能:傳入一個(gè)數(shù)據(jù)流, 將其轉(zhuǎn)換為字節(jié)數(shù)組
  public byte[] d(InputStream paramInputStream)
  {
    try
    {
      ByteArrayOutputStream localByteArrayOutputStream = new java/io/ByteArrayOutputStream;
      localByteArrayOutputStream.<init>();
      byte[] arrayOfByte = new byte[1024];
      for (;;)
      {
        int i = paramInputStream.read(arrayOfByte);
        if (i == -1) {
          break;
        }
        localByteArrayOutputStream.write(arrayOfByte, 0, i);
      }
      localByteArrayOutputStream.flush();
      localByteArrayOutputStream.close();
      paramInputStream.close();
      paramInputStream = localByteArrayOutputStream.toByteArray();
    }
    catch (IOException paramInputStream)
    {
      paramInputStream.printStackTrace();
      paramInputStream = null;
    }
    return paramInputStream;
  }
  
  protected void onCreate(Bundle paramBundle)
  {
    super.onCreate(paramBundle);
    setContentView(2131296283);
    ((Button)findViewById(2131165218)).setOnClickListener(new View.OnClickListener()
    {
      public void onClick(View paramAnonymousView)
      {
        // 調(diào)用a方法
        MainActivity.this.a();
        EditText localEditText = (EditText)MainActivity.this.findViewById(2131165234);
        paramAnonymousView = localEditText.getText().toString();
        if (MainActivity.this.clazz != null) {
          try
          {
          // 經(jīng)過(guò)Myclass加密之后,再base64encode
            if 
         (Base64.encodeToString(((IMyClass)MainActivity.this.clazz.newInstance()).check(paramAnonymousView), 0).equals("+sfQ39PX3eGOzOGNyt/Kj90=\n"))
            {
              Toast.makeText(MainActivity.this.getApplicationContext(), "Good job", 0).show();
              localEditText.setText(String.format("flag{%s}", new Object[] { paramAnonymousView }));
            }
            else
            {
              Toast.makeText(MainActivity.this.getApplicationContext(), "Why you say so", 0).show();
            }
          }
          catch (Exception paramAnonymousView)
          {
            paramAnonymousView.printStackTrace();
            return;
          }
        }
      }
    });
  }
}

程序生成plugin.jar之后直接從/data/data/$(packagename)/找到plugin.jar , 代碼如下:

package com.j.base;

import com.j.ctz.IMyClass;

public class MyClass implements IMyClass {
    public MyClass() {
        super();
    }
    // 只是做了簡(jiǎn)單的異或操作
    public byte[] check(String arg4) {
        byte[] v0 = arg4.getBytes();
        int v1;
        for(v1 = 0; v1 < v0.length; ++v1) {
            v0[v1] = ((byte)(v0[v1] ^ 190));
        }

        return v0;
    }
}

import base64
print ''.join(map(lambda x:chr(ord(x)^190), list(base64.b64decode("+sfQ39PX3eGOzOGNyt/Kj90="))))

flag:

Flag{Dynamic_0r_3tat1c}

2.hiddendata

思路: Java層沒(méi)做什么處理, 直接調(diào)用so層的check函數(shù). 分析so層, 發(fā)現(xiàn)main函數(shù)沒(méi)做什么處理, 分析onLoad能得到結(jié)果.

#-*-coding = utf-8-*-
ori = [0x41, 0xFF, 0xF3, 0xDB, 0x06, 0xB3, 0x69, 0xC2, 0x90, 0xA3, 
  0x21, 0x8F, 0x7B, 0x6D, 0x32, 0x8C]

keys = [0x56, 0xFC, 0xD8, 0x66]

final = [0x64, 0x32, 0x4A, 0xCD, 0x34, 0xE6, 0x5D, 0x82, 0xB6, 0x53, 
  0x0B, 0x39, 0xC8, 0xE7, 0x21, 0x71]

after = [i for i in range(len(final))]

v = [i for i in range(len(final))]
flag = ""
for i in range(len(after)):
    key = keys[i % 4];
    v[i] = ((((ori[i] >> i % 4) | (ori[i] << i / 4)) & 0xff) ^ key ^ final[i])
    flag += chr(v[i])
print flag

python腳本比較坑的一點(diǎn)要注意: 左移的時(shí)候可能大于32位(int 是32位) 即64bit. 所以要與上0xff.

import sys
i = sys.maxint
print i # 查看int變量的最大值

3. hide

#coding=utf-8
import struct
import string
def u32(data):
    return struct.unpack("<I",data)[0]
 
def p32(data):
    return struct.pack("<I",data)
 
def u64(data):
    return struct.unpack("<Q",data)[0]
 
def p64(data):
    return struct.pack("<Q",data)
 
input1 = '1234567890123456'
input1 = bytearray(input1)
CONST_STR = 's1IpP3rEv3Ryd4Y3'
CONST = 0X676E696C
v4 = 0
v4_4=0
v4_4_arr = [0 for i in range(0,9)]
for i in range(1,9):
    v4_4_arr[i] = (v4_4_arr[i-1]+CONST)&0XFFFFFFFF
 
def re_block(byte_arr_8):
    i = 0
    v3 = u32(byte_arr_8[0:4])
    v4 = u32(byte_arr_8[4:8])
    print 'round', v3, v4
    for i in range(7,-1,-1):
        v30 = (v3 << 4) & 0xffffffff
        v2c = v3 >> 5
        edx = v30 ^ v2c
        v30 = (v3 + edx) & 0xffffffff
 
        v28 = (v4_4_arr[i+1] >> 11) & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4_arr[i+1] + edx) & 0xffffffff  # xxxx
        # print 'v2c',hex(v2c)
        print v30 ^ v2c
        v4 = (v4+0x100000000-(v30 ^ v2c)) & 0xffffffff
 
        v30 = (v4 << 4) & 0xffffffff
        v2c = v4 >> 5
        edx = v30 ^ v2c
 
        v30 = (v4 + edx) & 0xffffffff
 
        v28 = v4_4_arr[i] & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4_arr[i] + edx) & 0xffffffff
 
        v3 = (v3+0x100000000-(v30 ^ v2c)) & 0xffffffff
 
        print 'round',i,v3,v4
    byte_arr_8[0:4] = p32(v3)
    byte_arr_8[4:8] = p32(v4)
    return byte_arr_8
def xor16(byte_arr_16):
    for i in range(0,16):
        byte_arr_16[i]^=i
def re_all(str16):
    byte_arr = bytearray(str16)
    xor16(byte_arr)#傳入整個(gè)bytearray滚澜，就是傳入地址
    byte_arr[0:8] = re_block(byte_arr[0:8])#傳入部分bytearray，就是復(fù)制之后再傳入
    byte_arr[8:16] = re_block(byte_arr[8:16])
    xor16(byte_arr)
    byte_arr[0:8] = re_block(byte_arr[0:8])
    byte_arr[8:16] = re_block(byte_arr[8:16])
    xor16(byte_arr)
    byte_arr[0:8] = re_block(byte_arr[0:8])
    byte_arr[8:16] = re_block(byte_arr[8:16])
    return str(byte_arr)
 
 
def block(str8):
    i=0
    input1=bytearray(str8)
    v3 = u32(input1[8 * i:8 * i + 4])
    v4 = u32(input1[8 * i + 4:8 * (i + 1)])
    v4_4 = 0  ##0000
    for j in range(0, 8):
 
        v30 = (v4 << 4) & 0xffffffff
        v2c = v4 >> 5
        edx = v30 ^ v2c
 
        v30 = (v4 + edx) & 0xffffffff
 
        v28 = v4_4 & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4 + edx) & 0xffffffff
 
        v3 = ((v30 ^ v2c) + v3) & 0xffffffff
 
 
        v4_4 = (v4_4 + CONST) & 0xffffffff
 
        v30 = (v3 << 4) & 0xffffffff
        v2c = v3 >> 5
        edx = v30 ^ v2c
        v30 = (v3 + edx) & 0xffffffff
 
        v28 = (v4_4 >> 11) & 3
        edx = u32(CONST_STR[v28 * 4:(v28 + 1) * 4])
        v2c = (v4_4 + edx) & 0xffffffff  # xxxx
        print v30 ^ v2c
        v4 = ((v30 ^ v2c) + v4) & 0xffffffff
 
        print 'round', j, v3, v4
 
    input1[8 * i:8 * i + 4] = p32(v3)
    input1[8 * i + 4:8 * (i + 1)] = p32(v4)
    str8_1=str(input1)
    return str8_1
def block2(str8):
    input1 = bytearray(str8)
    for i in range(0,8):
        input1[i]=input1[1]^i
    return str(input1)
des = ('52B8137F358CF21B'+'F46386D2734F1E31').decode('hex')
print len(des)
 
print block('12345678').encode('hex')
des1 = '5b90ef3f91b58fe6'.decode('hex')
print re_all(bytearray(des))

4. re0_0

for循環(huán)是解密

解密之后就能正常F5

解密之后可看到邏輯簡(jiǎn)單


# import idc_bytes
# buf = ida_bytes.get_bytes(0x600B00, 182)
# patch = ""
# for i in buf:
#   patch += chr(ord(i) ^ 0x0C)
# ida_bytes.patch_bytes(0x600B00,patch)

enc = [0x66, 0x6D, 0x63, 0x64, 0x7F, 0x6B, 0x37, 0x64, 0x3B, 0x56, 0x60, 0x3B, 0x6E, 0x70]
flag = ""
for i in range(len(enc)):
    flag += chr(i ^ enc[i])
print flag

5. re1_0

思路: 找到關(guān)鍵比較下斷讀寄存器或直接patch

6. EVR

思路: 爆破

1533210933799.png

flag_enc = [30,  21,   2,  16,  13,  72,  72, 111, 221, 221, 72, 100,  99, 215,  46,  44, 254, 106, 109,  42, 242, 111, 154,  77, 139,  75,  10, 138,  79,  69, 23,  70,  79,  20,  11]
flag=""
for i in range(7):
    flag += chr(flag_enc[i]^0x76)
for i in range(7):
    for j in range(32,127):
        a = j ^ 0x76 ^ 0xad
        a = (2 * a) & 0xaa | (( a & 0xaa) >> 1) 
        if(a==flag_enc[i+7]):
            flag += chr(j)
for i in range(7):
    for j in range(32,127):
        a = j ^ 0x76 ^ 0xbe
        a = (4 * a) & 0xcc | (( a & 0xcc) >> 2) 
        if(a==flag_enc[i+14]):
            flag += chr(j)
for i in range(7):
    for j in range(32,127):
        a = j ^ 0x76 ^ 0xef
        a = (16 * a) & 0xf0 | (( a & 0xf0) >> 4) 
        if(a==flag_enc[i+21]):
            flag += chr(j)
for i in range(7):
    flag += chr(flag_enc[i+28]^0x76)
print flag

7. Magic

https://4hou.win/wordpress/?p=20989

https://www.52pojie.cn/thread-742361-1-1.html

8. apl

apl語(yǔ)言非常簡(jiǎn)介,當(dāng)然,看他也像看天書(shū)一樣.

簡(jiǎn)介: https://zh.wikipedia.org/wiki/APL%E8%AA%9E%E8%A8%80

https://monosource.github.io/writeup/2018/05/08/plaidctf-aplunatics/

?IO←0?'BIE°??>IL?E.!!<E!:E84￥?2E23?8?968'{{?(~?)/'success' 'fail'}?(+/?= 13+{+/?/?2*???}¨,/33 8?(8×??)?7??(-?(?'f0xtr0t')÷2)??11 24??{a≠8↑(0,a←(8?2)??)}¨???UCSUCS ?)=??}'INPUT HERE'

?IO←0?是多余的.

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末嫁怀，一起剝皮案震驚了整個(gè)濱河市设捐，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌塘淑，老刑警劉巖萝招，帶你破解...
沈念sama閱讀 221,548評(píng)論 6贊 515
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件存捺，死亡現(xiàn)場(chǎng)離奇詭異槐沼，居然都是意外死亡，警方通過(guò)查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 94,497評(píng)論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門(mén)岗钩，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)纽窟，“玉大人，你說(shuō)我怎么就攤上這事兼吓”鄹郏” “怎么了？”我有些...
開(kāi)封第一講書(shū)人閱讀 167,990評(píng)論 0贊 360
道士緝兇錄：失蹤的賣(mài)姜人
文/不壞的土叔我叫張陵周蹭，是天一觀的道長(zhǎng)。經(jīng)常有香客問(wèn)我疲恢，道長(zhǎng)凶朗，這世上最難降的妖魔是什么？我笑而不...
開(kāi)封第一講書(shū)人閱讀 59,618評(píng)論 1贊 296
?港島之戀（遺憾婚禮）
正文為了忘掉前任显拳，我火速辦了婚禮棚愤，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘杂数。我一直安慰自己宛畦，他們只是感情好，可當(dāng)我...
茶點(diǎn)故事閱讀 68,618評(píng)論 6贊 397
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布揍移。她就那樣靜靜地躺著次和，像睡著了一般。火紅的嫁衣襯著肌膚如雪那伐。梳的紋絲不亂的頭發(fā)上踏施，一...
開(kāi)封第一講書(shū)人閱讀 52,246評(píng)論 1贊 308
城市分裂傳說(shuō)
那天，我揣著相機(jī)與錄音罕邀，去河邊找鬼畅形。笑死，一個(gè)胖子當(dāng)著我的面吹牛诉探，可吹牛的內(nèi)容都是我干的日熬。我是一名探鬼主播，決...
沈念sama閱讀 40,819評(píng)論 3贊 421
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼肾胯，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼竖席！你這毒婦竟也來(lái)了？” 一聲冷哼從身側(cè)響起敬肚，我...
開(kāi)封第一講書(shū)人閱讀 39,725評(píng)論 0贊 276
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤怕敬，失蹤者是張志新（化名）和其女友劉穎，沒(méi)想到半個(gè)月后帘皿，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體东跪，經(jīng)...
沈念sama閱讀 46,268評(píng)論 1贊 320
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 38,356評(píng)論 3贊 340
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了虽填。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片丁恭。...
茶點(diǎn)故事閱讀 40,488評(píng)論 1贊 352
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡，死狀恐怖斋日，靈堂內(nèi)的尸體忽然破棺而出牲览，到底是詐尸還是另有隱情，我是刑警寧澤恶守，帶...
沈念sama閱讀 36,181評(píng)論 5贊 350
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布第献，位于F島的核電站，受9級(jí)特大地震影響兔港，放射性物質(zhì)發(fā)生泄漏庸毫。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,862評(píng)論 3贊 333
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一衫樊、第九天我趴在偏房一處隱蔽的房頂上張望飒赃。院中可真熱鬧，春花似錦科侈、人聲如沸载佳。這莊子的主人今日做“春日...
開(kāi)封第一講書(shū)人閱讀 32,331評(píng)論 0贊 24
一樁弒父案臀栈，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)蔫慧。三九已至，卻和暖如春权薯，著一層夾襖步出監(jiān)牢的瞬間藕漱，已是汗流浹背。一陣腳步聲響...
開(kāi)封第一講書(shū)人閱讀 33,445評(píng)論 1贊 272
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工崭闲，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留肋联，地道東北人。一個(gè)月前我還...
沈念sama閱讀 48,897評(píng)論 3贊 376
代替公主和親
正文我出身青樓刁俭，卻偏偏與公主長(zhǎng)得像橄仍，于是被迫代替她去往敵國(guó)和親。傳聞我的和親對(duì)象是個(gè)殘疾皇子牍戚，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,500評(píng)論 2贊 359