bugku_MagicImageViewer

CTF 安卓逆向

MagicImageViewer——png结构+算法

很少做安卓逆向的题目，在此记录一下

先用模拟器看一下

嗯，没啥提示。

jeb打开

关键部分

if(s.length() == 16) //输入的字符串长度为16

String s1 = MainActivity.this.getKey(s); //该方法获得s1，getKey()在native层

Bitmap bitmap0 = MagicImageUtils.readMagicImage(MainActivity.this, "png/encrypt_png.dat", s1);
// MagicImageUtils.readMagicImage是Java层的方法

先看getKey()

关键部分

strcpy(v5, "Welcome_to_sdnisc_2018_By.Zero");

v13[i] = *(v7 + 2 * i) ^ v5[i - 30 * (v9 / 30)];

2*i比较怪，是什么呢？我们查一下JNI的GetStringChars方法，由参考链接1可知它返回的是Unicode格式的char*，所以2字节算一个字符**

v5[i - 30 * (v9 / 30)这个就是v5[i]

就是对输入的字符串进行异或(前16位)

接着看MagicImageUtils.readMagicImage

关键部分

int v1 = inputStream0.read();//读取路径文件
arrayList0.add(Byte.valueOf(((byte)MagicImageUtils.decrypt(v1, ((char)s1.charAt(v % 16))))));
//decrypt() 在native层

也是个异或

接着往下看可以发现，后面生成了图片，也就是对于加密后的图片数据，解密为图片

输入s，s与v5异或得到s1，s1，路径文件异或生成内容转化，图片。
但是png图片的前16位是固定的，所以很容易解出来。

goal = b'\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52' //png图片的前16 位
key_s = 'Welcome_to_sdnisc_2018_By.Zero'
ans = ''

with open('encrypt_png.dat', 'rb') as f:
    dat = f.read(16)
    for i in range(16):
        v = (dat[i] - 1) ^ 0x61 ^ goal[i] ^ ord(key_s[i])
        ans += chr(v)
print(ans)

输出 XaE3*2#@!qV^v+_.

验证：

得到flag。

此时可以更为有趣的写出png(刚开始没想到)
此时

没看懂getKey也能过这题。
作者贴心地提供了一个正常图片的处理函数MagicImageUtils.readImage。

此时会出现dat=0的情况，所以加了验证

goal = b'\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52'


def b(v):
    return v if v >= 0 else 0xff


with open('encrypt_png.dat', 'rb') as f:
    dat = f.read()
    _key = b''
    for i in range(16):
        _key += (b(dat[i] - 1) ^ 0x61 ^ goal[i]).to_bytes(length=1, byteorder='big', signed=False)
    with open('flag.png', 'wb') as f:
        for i in range(len(dat)):
            f.write((b(dat[i] - 1) ^ 0x61 ^ _key[i & 0xf]).to_bytes(length=1, byteorder='big', signed=False))