2016 alictf Timer writeup
Timer-smali逆向
参考文档:http://blog.csdn.net/qq_29343201/article/details/51649962
题目链接:
https://pan.baidu.com/s/1jINx7Fo (在里面找相应的名字就行)
题目描述:
每秒触发一次计算,共有200000秒,答案参与计算,不可能等待下去。
使用工具:
Android Killer,jadx-gui
解题方法有多种,我参照网上的一种方法。通过对native层,代码的还原,计算出200000秒后的关键变量k,传入主调用,得到答案
解题过程:
System.currentTimeMillis()相当于是毫秒为单位,获取当前时间
先是把单位变成秒,然后加上200000秒
第二块逻辑,用于筛选秒数的自定义函数,可以忽略,之后按代码逻辑就行
第三块逻辑,主程序段,包含最后打印flag值的代码段
分成三段来看:
第一段:super继承,调用页面设计框架,实例化handler函数
第二段:t的作用在于将时间一点一点减少,beg的值在前面,代表一开始时间,now代表现在的时间
第三段:当差值为0或小于打印flag,否则调用is2函数判断,true,k+100,false,k-1
所以有了下面的解密程序
def is2(n): if (n <= 3): if (n > 1): return True return False elif (n % 2 == 0 or n % 3 == 0): return False else: i = 5 while (i * i <= n): if (n % i == 0 or n % (i + 2) == 0): return False i += 6; return True; def main(): time = 200000 k = 0 while time > 0: if is2(time): k += 100 else: k -= 1 time -= 1 print(k) if __name__ == '__main__': main()
将得到的k值传给native代码,此时的k是经过200000运算的k,传进去直接返回结果
在传入native的时候要注意,首先要确定run函数的位置,这一块方法结束了,没找到逻辑,
通过字符串搜索找到run函数的位置,在MainActivity$1.smali中
直接将k传入不用运行200000次,需要更改"The flag is:"之前的关键跳转
if-gtz v0, :cond_0 改为 if-ltz v0, :cond_0
根据分析,k的值是v3的值,所以要在获取v3之后,修改v3的值
重打包,得到flag