一道简单的Android Reverse题,由蓝鲸安全平台提供

题目:石头剪子布,达到足够分数得到flag。地址:https://pan.baidu.com/s/1gUs6qRd3Vc43igmGxnB65g

知识点:安卓逆向,Xpose模块hook,so库分析

目录

  1. 背景知识
    1. APK文件结构
    2. APK安装过程
    3. Xpose模块使用
  2. 题目解析
    1. 方法1
    2. 方法2
  3. 总结
    1. 参考链接

背景知识

APK文件结构

  • Android应用是用Java编写的,利用Android SDK进行编译,并且把所有的数据和资源文件到打包压缩成一个APK(Android Package)文件,也就是后缀名为.apk的压缩文件(其实就是一个zip压缩包),它包含了一个Android应用程序的所有内容,修改后缀用压缩软件就可以打开。解压后有如下结构:

  • Assets目录:用于存放需要打包到APK中的静态文件,和res的不同在于,assets目录支持任意深度的字目录,用户可以根据自己的需求任意部署文件夹结构,而res目录下的文件会在.R文件中生成对应的资源ID,assets不会自动生成对应的ID,访问的时候需要AssetMannager类。

  • Res目录:res是resource的缩写,这个目录存放资源文件,存在这个文件夹下的所有文件都会映射到Android文件的.R文件中,生成对应的ID,访问的时候直接使用资源ID即R.id.filename, res文件夹下可以包含多个文件夹:

    • anim存放动画文件;
    • drawable目录存放图像资源;
    • layout目录存放布局文件;
    • values目录存放一些特征值;
    • raw是可以直接复制到设备中的任意文件,他们无需编译;
    • xml文件夹存放任意的xml文件,在运行时通过Resources.getXML()读取;
    • dimens.xml定义尺寸值;
    • string.xml定义字符串的值;
    • styles.xml定义样式对象;
    • colors.xml存放color颜色值;

  • Lib目录:存放应用程序依赖的native库文件,一般是用C/C++编写,这里的lib库可能包含4种不同类型,根据CPU型号不同:

    • ARM,ARM框架
    • ARM-v7a,ARM-V7架构
    • MIPS,MIPS架构
    • X86,X86架构

  • 不同的CPU架构对应着不同的目录,每个目录中可以放很多对应版本的so库,且这个目录的结构固定,用户只能按照这个目录存放自己的so库。这四个目录要根据CPU的架构来选,而市面上ARM架构的手机占大多数,所以一般APK只包含ARM和ARM-V7a的so。

  • META-INF目录:保存应用的签名信息,签名信息可以验证APK文件的完整性。AndroidSDK在打包APK时会计算APK包中所有文件的完整性,这样保证APK中的每一个文件都不能被篡改,来确保APK应用程序不被恶意修改或者病毒感染,保证了Android应用的完整性和系统的安全性。

    • CERT.RSA 开发者利用私钥对APK进行签名的签名文件;
    • CERT.DSA
    • CERT.SF 记录了文件的SHA-1哈希值;
    • MANIFEST.MF

  • AndroidManifest.xml:是Android应用程序的配置文件,是一个用来描述Android应用“整体资讯”的设定文件,简单来说,相当于Android应用向Android系统“自我介绍”的配置文件,Android系统可以根据这个“自我介绍”完整的了解APK应用程序的资讯,每个Android应用程序都必须包含一个AndroidManifest.xml文件,并且它的名字是固定的,不能修改。我们在开发Android应用程序的时候,一般都把代码中的每一个Activity,Service,Provider和Receiver在AndroidManifest.xml中注册,只有这样系统才能启动对应的组件,另外这个文件还包含一些权限声明以及使用的SDK版本信息等等。程序打包时,会把AndroidManifest.xml进行简单的编译,便于Android系统识别,编译之后的格式是AXML格式。

    • axml头:其中的axml头是固定标识axml文件的,其值固定时0x00080003;
    • axml文件长度:标识axml文件大小;
    • StringDataSegment:保存xml文件中所有字符串类型;
    • ResourceIdSegment:保存xml文件中声明的资源文件ID;
    • XmlContentSegment:是xml的内容段,按照xml文件中的结构依次排开,保存xml的数据内存。

  • Classes.dex:传统的Java程序,首先把JAVA文件编译成class文件,字节码都保存在class文件中,Java虚拟机可以通过解释执行这些class文件。而Dalvik虚拟机是在Java虚拟机进行了优化,执行的是Dalvik字节码,而这些Dalvik字节码是由Java字节码转换而来,一般情况下,Android应用在打包时通过AndroidSDK中的dx工具将Java字节码转为Dalvik字节码。dx工具可以对多个class文件进行合并,重组,优化,可以达到减小体积,缩短运行时间的目的。

  • dx工具转换过程:dx工具把每个.class文件的每个区域的内容进行去重,重组,优化重排后生成dex文件,生成的dex文件可以在Dalvik虚拟机执行,且速度比较快。

  • resources.arsc:用来记录资源文件和资源ID之间的映射关系,用来根据资源ID寻找资源。Android的开发是分模块的,res目录专门用来存放资源文件,当在代码中需要调用资源文件时,只需要调用findviewbyId()就可以得到资源文件,每当在res文件夹下放一个文件,aapt就会自动生成对应的ID保存在.R文件,然后调用这个ID就可以,但是只有这个ID还不够,.R文件只是保证编译程序不报错,实际上在程序运行时,系统要根据ID去寻找对应的资源路径,而resources.arsc文件就是用来记录这些ID和资源文件位置对应关系的文件。

APK安装过程

Android的应用安装涉及到如下几个目录:

  • /data/app:存放用户安装的APK的目录,安装时,把APK拷贝于此;
  • /data/data:应用安装完成后,在该目录下自动生成和APK包名(packagename)一样的文件夹,用于存放应用程序的数据;
  • /data/dalvik-cache:存放APK的odex文件,便于应用启动时直接执行;

首先,复制APK安装包到/data/app下,然后校验APK的签名是否正确,检测APK的结构是否正常,进而解压并且校验APK中的dex文件,确定dex文件没有被损坏后,在把dex优化成odex,使得应用程序启动时间加快,同时在/data/data目录下建立于APK包名相同的文件夹,如果APK中有lib库,系统会判断这些so库的名字,查看是否以lib开头,是否以.so结尾,在根据CPU的架构解压对应的so库到/data/data/packagename/lib下。

  • APK安装的时候会把DEX文件解压并且优化为odex,odex在原来的dex文件头添加了一些数据,在文件尾部添加了程序运行时需要的依赖库和辅助数据,使得程序运行速度更快。

Xpose模块使用

  • 需要工具:

    • 夜神模拟器(已经root比较方便);
    • 如果想要在Android Studio AVD上运行,可以使用SuperRoot进行root;
    • de.robv.android.xposed.installer_v33_36570c.apk
    • XposedBridgeApi-54.jar

  • Xpose服务框架是Android逆向中非常负有盛名的一个工具模块。它能够在不修改APK的情况下,影响应用运行的服务框架。可以根据自己的需求编写模块,让模块去控制目标的应用服务。

  • Xpose最特别的就是附带的Hook钩子方法。我们可以通过Hook的一系列方法达到获取应用中某个方法返回值,修改某个方法的参数,调用某个方法。最简单的应用实例就是绕过应用登录验证而达到劫持登录。

  • 将Xpose的install包拖到到桌面进行安装,运行后点击框架,单机安装,直到两个版本的标识都是绿色,接下来可以开始编写我们自己的模块了。

  • 编写模块选择Android原生编辑器Android studio

  • 首先选择新建->no Activity的空模块;

  • 然后进行模块的配置,选择Project视图,打开能够看到项目中的所有内容;在app目录上点击右键,选择新建一个lib目录;然后把XposeBridgeApi-54.jar拖入到lib目录下;(Privided已停用,使用Compile Only)

  • 接着在AndroidManifest.xml文件中配置插件名称与Api版本号(框架中的数字54)在app下的src的main目录中

  • 接下来就可以创建自己模块了,点击main中的java文件夹,看到程序的主包。点击右键,选择新建一个java类,且可自行命名。

    • 然后为了能够使用Xpose中的方法,需要导入Xpose的包,具体导入哪些包,看需求,可以查看XposeAPI文档;
    • 然后创建一个根据IXposedHookLoadPackage集成一个类;
    • 接下来的方法可以按照一定的模式进行运作;
    • 先利用LoadPackage的方法接受目标包,接着使用FindAndHookMethod方法接受并hook一个方法并hook一个方法。
    • 在类中定义接受方法,两种before和after分别在方法被调用前后被运行。而before可以修改方法的参数,通过param.argv[];而after通常用来修改勾取后函数运行的结果。

题目解析

  • 将APK包放到虚拟机中安装运行,是一个石头剪刀布的游戏,赢了积分加1,输了则减1,平局不加分。

  • 使用jeb进行逻辑分析,计数要等到1000才能够获取flag

方法1

  • 于是利用Xpose模块来设置这些变量,把cnt设置为999,把m设置为0,n设置为1,则就会满足条件。(记得修改AndroidManifest.xml)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
package com.example.sy.xpose_model;

import android.view.View;
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.callbacks.XC_LoadPackage.LoadPackageParam;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.XC_MethodHook;


public class Main implements IXposedHookLoadPackage{
    public void handleLoadPackage(final LoadPackageParam lpparam) throws Throwable{

        if (!lpparam.packageName.equals("com.example.seccon2015.rock_paper_scissors"))
            return;
        XposedHelpers.findAndHookMethod("com.example.seccon2015.rock_paper_scissors.MainActivity", lpparam.classLoader, "onClick", View.class, new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                //super.afterHookedMethod(param);
                XposedHelpers.setIntField(param.thisObject, "cnt",999);
                XposedHelpers.setIntField(param.thisObject, "m", 0);
                XposedHelpers.setIntField(param.thisObject, "n", 1);
            }
        });
    }
}
  • 创建APK安装到虚拟机后,勾选模块重启虚拟机。运行CTF挑战,点击任意一个按钮得到flag。

方法2

  • 在jeb进行逻辑分析时的calc方法是通过导入了libcalc.so库文件;

  • 使用IDA打开这个so文件,发现这个值赋值为7,直接返回;

所以结果为(1000+7)* 107 = 107749,flag就是SECCON{107749}。

总结

借助这个题,学习下Xpose的使用,其他的就是比较基础的分析。

参考链接

Xpose API:https://api.xposed.info/reference/packages.html

Xpose 模块编写:https://www.freebuf.com/articles/terminal/189021.html