引言
这是一道有关Magisk模块的题目,虽然一直在用Magisk,但是对其模块作弊机制还不是很了解,之前比赛的时候没做出来(之前没恢复OpenSSL
的符号,看起来很难看放弃了),有时间翻出来再看看。难点在于这道题目是采取静态分析的手段看的,暂时没找到什么办法对模块内的so文件进行动调和Hook,之后再研究研究。
解题
-
将APP和题目给出的
zygisk模块
安装后打开APP,发现左上角出现一个作弊窗口,但是需要进行校验,这里它读取/data/data/re.ctf.flappybird/file/key.txt
进行校验,如果通过才会打开作弊功能。题目中给出了另一个流量包,这个流量包有一个对/auth
接口的访问流量。
-
一般情况下对模块内的so进行分析入口点在
zygisk_module_entry
,这里off_4B3C08
指向几个地址,其中有进行包名匹配的,也有进行Hook的,重点对Hook部分进行分析。
-
Hook部分创建一个线程,内使用
DobbyHook
将两so中的两个方法Hook到sub_19D0D4
和sub_19DF40
,第二个函数内部大致是一些按键或者图像相关API,而非作弊器校验,因此主要分析19D0D4
位置的函数。
-
19D0D4位置的函数则能够看到在Auth处进行了校验,此处的符号是需要自己猜测恢复的,则主要分析
0x19D5C4
位置的函数。
-
分析发现逻辑大概就是打开
/data/data/re.ctf.flappybird/file/key.txt
读取内容并且计算sha1,拼接为token-sha1(key)
,附加在流量中Http头部,这里的sha1也是通过恢复符号才能分析,再后面又是很多加密操作
-
重点是符号的恢复,否则后面很难看,这里可以提取手机中的libcrypto.so或者编译一份arm64架构的共享库,这里直接编译,因为编译出来的符号全一点
首先在github拉一份OpenSSL的源码,题目中so字符串中有指示版本为3.0.5
https://github.com/openssl/openssl
checkout出3.0.5版本
git checkout openssl-3.0.5
然后配置NDK,先从google下一份NDK,这里用的是r25c,配好环境变量
export ANDROID_NDK_ROOT=/root/android-ndk-r25c
export PATH=$ANDROID_NDK_ROOT/toolchains/llvm/prebuilt/linux-x86_64/bin:$ANDROID_NDK_ROOT/toolchains/arm-linux-androideabi-4.9/prebuilt/linux-x86_64/bin:$ANDROID_NDK_ROOT/toolchains/aarch64-linux-android-4.9/prebuilt/linux-x86_64/bin:$PATH
然后编译就行
./Configure android-arm64 -D__ANDROID_API__=21 shared no-tests
make -j4
-
编译完成后得到libcrypto.so,直接拖入IDA,等IDA处理完成后关闭IDA并pack database。使用bindiff的IDA插件,导入libcrypto.so.i64进行比对,完成后再打开插件选择
Import symbol and comments
,然后相似度和置信度最小都设置为0.7
即可。
-
恢复后的分析会好很多,后面先是获取了DEVICE_NAME、cmdline、tcp、tcp6 等信息然后作为内容进行加密,加密完成后通过/auth接口发请求
-
重点分析encypto,主要加密经过几个阶段
-
rand 随机生成一个AES密钥
-
用AES密钥加密数据
-
用RSA公钥A加密AES密钥
-
拿到sha256(session_key_enc + data_enc)
-
用私钥B签名数据
先是通过
v4 = time(0LL); srand(v4 & 0xFFFFFFF8);
设置种子得到32字节随机数,这32个随机数是作为AES-CBC加密的密钥,
具体是因为在生成随机数后传入0019BBBC位置的函数,该函数是对传入的数据(即包括文件内容和其他信息的内容)进行AES-CBC加密,EVP_EncryptInit声明是这个
__owur int EVP_EncryptInit(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,const unsigned char *key, const unsigned char *iv);
第二个参数包含了一些加密算法的信息,这里的第二个参数指向一个函数sub_328478()
,函数则指向一个全局变量
这里导入EVP_CIPHER结构体的部分内容,对该内存进行分析,发现算法就是AES-CBC,也即对32字节的随机数进行了AES加密
struct evp_cipher_st {
int nid;
int block_size;
/* Default value for variable length ciphers */
int key_len;
int iv_len;
/* Legacy structure members */
/* Various flags */
unsigned long flags;
/* How the EVP_CIPHER was created. */
int origin;
/* init key */
int *init;
/* encrypt/decrypt data */
int (*do_cipher);
/* cleanup ctx */
int (*cleanup);
/* how big ctx->cipher_data needs to be */
int ctx_size;
/* Populate a ASN1_TYPE with parameters */
int (*set_asn1_parameters);
/* Get parameters from a ASN1_TYPE */
int (*get_asn1_parameters);
/* Miscellaneous operations */
int (*ctrl);
/* Application data */
void *app_data;
/* New structure members */
/* Above comment to be removed when legacy has gone */
int name_id;
char *type_name;
const char *description;
} /* EVP_CIPHER */ ;
然后使用公钥加密随机的32字节数据,然后对结果进行了拼接
然后获取sha256摘要,这里的摘要是计算
sha256(公钥加密AES_KEY的密文 + AES加密主体内容的密文)
最后使用私钥进行签名,并再次进行拼接,最终的结构就是SessionKey_enc + data_enc + sign
-
将数据发送出去后收到响应数据,对于响应数据先是用公钥验证签名,然后用AES解密数据,但是这里的AES的密钥不是之前的随机数,而是写死的一个密钥位于
byte_515220
,
然后就是sub_19CDA4
内有一个看起来比较复杂的解密运算,所以参考https://arcovegle.github.io/2023/04/05/XCTF%20Final%20flappy-bird-cheat/
给出的方案,伪造一个服务器,直接Patch模块让它自己解包。
-
到此并未结束,因为在Get FLag按钮被触发后会开始构造flag,在内部先是拿到
sha256(DEVICE_NAME)
的前16 字节的 hex,然后是服务端返回内容进行解密并且反序列化后sha256的后16字节的 hex,因此需要手动解密第一部分的DEVICE_NAME,这里用官方给出的脚本
import datetime
import ctypes
import struct
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
from hashlib import sha256
raw = open("./a.bin", "rb").read() # dump http stream
post_data = raw[raw.index(b"Content-Length: 5696\r\n\r\n")+len(b"Content-Length: 5696\r\n\r\n"):raw.index(b"HTTP/1.1 200 OK\r\nServer: Werkzeug")]
rsp_data = raw[raw.index(b"Connection: close\r\n\r\n") + len(b"Connection: close\r\n\r\n"):]
assert len(post_data) == 5696
assert len(rsp_data) == 672
"28 Aug 2022 18:18:54"
ts = int(datetime.datetime(2022, 8, 28, 19, 3, 14).timestamp()) & 0xFFFFFFF8
libc = ctypes.CDLL("libc.so.6")
libc.srand(ts)
session_key = bytes([libc.rand() & 0xFF for i in range(32)])
print(session_key)
aes = AES.new(session_key, mode=AES.MODE_CBC, iv=b"\x00"*16)
session_key_enc, ciphertext, signature = post_data[0:512], post_data[512:-512], post_data[-512:]
s1 = unpad(aes.decrypt(ciphertext), 16)
print(s1.split(b"======\n")[1].strip())
s1 = sha256(s1.split(b"======\n")[1].strip()).hexdigest()[0:32]
print(s1)
# 941d52d3ca23967191aee16dd541778d
- 最终Flag就是
flag{941d52d3ca23967191aee16dd541778da4f1a8ff674264e8c1e4e404afc1ccdd}
总结
总的来说这题还是很难做的。
主要问题在于单靠静态看很难看,存在大量字符串结构体和一个大的作弊结构体,还是想找个办法动调或者Hook一下。
再者就是符号恢复,不进行符号恢复看破脑袋都解不出来。
然后就是尽管恢复完符号,但是还是存在一些序列化和加密的内容,arm64架构编出来又很难看。
参考
https://arcovegle.github.io/2023/04/05/XCTF Final flappy-bird-cheat/
https://mp.weixin.qq.com/s?__biz=MzI2MDE4MzkzMQ==&mid=2247484521&idx=1&sn=8f5119a0cd930ce5355a6b0c9446e182&chksm=ea6cc67ddd1b4f6bdb0651408a5d03c539c65d84050519c9eb35308833357bb8c55e8c11cfb5#rd