【flutter对抗】blutter使用+ACTF习题

2023-12-14 17:37:29

最新的能很好反编译flutter程序的项目

1、安装

git?clone?https://github.com/worawit/blutter?--depth=1

图片

?

然后我直接将对应的两个压缩包下载下来(通过浏览器手动下载)

不再通过python的代码来下载,之前一直卡在这个地方。

如果读者可以正常运行init_env_win.py,手动这一步可以省略。

cd?.\blutter\
python?.\scripts\init_env_win.py

图片

再次运行就可以安装成功

图片

2、blutter反编译使用

图片

?

运行该工具,进入目标文件夹

提供libapp.so 和 libflutter.so 的目录

图片

?

图片

?

python?blutter.py?C:\Users\Le\Desktop\flutter\chall\lib\armeabi-v7a?.\output

然后报错。。。

图片

?

但是问题不大,好像是我们的架构不支持,我们换一个

图片

?

再次运行,发现正在下载对应Dart版本的信息

图片

?

全程代理!

图片

?

要不然还会报错

正常情况下:

图片

?

安装完成后,再次运行命令:

图片

?

报错:0x22说明权限不够,使用管理员模式运行即可

图片

?

反编译成功

查看文件目录:

图片

?

到此,blutter模块反编译flutter成功!

?

3、IDA恢复libapp.so符号

图片

?

拖进IDA64

发现符号全无,不利于我们分析,此时blutter工具的用法就体现出来了

图片

?

运行生成的脚本:

图片

?

见证奇迹的时刻到了

图片

?

4、分析

图片

?

flutter中:onTap函数是按钮点击响应函数,CTF中以此作为入口进行分析

进入1DE500函数

图片

?

进入分析发现一堆代码

图片

?

目前不知道什么加密,因为“面目全非”(有256,%符号)

图片

?

使用blutter生成的frida脚本,对该函数进行hook,观察其返回结果

frida?-U?-f?com.example.flutter_application_1?-l?blutter_frida.js

图片

?

图片

?

hook目标函数

图片

?

然后发现没有触发

图片

?

猜测flag长度有限制,后面知道了原来是模拟器有bug,我换了真机才可以

图片

?

得到了比较的数组,也就是密文

Unhandle?class?id:?46,?TypeArguments
GrowableList@750038d0f1?=?[
??188698,
??0,
??{
????"key":?"Unhandle?class?id:?46,?TypeArguments"
??},
??34,
??{
????"key":?[
??????184,
??????132,
??????137,
??????215,
??????146,
??????65,
??????86,
??????157,
??????123,
??????100,
??????179,
??????131,
??????112,
??????170,
??????97,
??????210,
??????163,
??????179,
??????17,
??????171,
??????245,
??????30,
??????194,
??????144,
??????37,
??????41,
??????235,
??????121,
??????146,
??????210,
??????174,
??????92,
??????204,
??????22
????]
??},
??0,
??0,
??0
]

?

接下来使用IDA进行so的一个动调

图片

?

图片

?

选择same

图片

?

找到module

图片

?

运行程序

图片

?

读者可以使用高级语言来看,为了理解更深刻,我这里采用了汇编来看

图片

?

可以看到比较256次

RC4的经典特征

图片

?

图片

?

图片

?

在异或出添加输出断点:

图片

?

搜索指令

??EOR?????????????X5,?X3,?X2

图片

?

import?idc
print(idc.get_reg_value("X2"),",",end="")

图片

?

图片

?

拿到异或的所有值

xor?=?[14,?14,?68,?80,?29,?201,?241,?46,?197,?208,?123,?79,?187,?55,?234,?104,?40,?117,?133,?12,?67,?137,?91,?31,?136,
???????177,?64,?234,?24,?27,?26,?214,?122,?217]

然后还有密文

这里使用了oacia师傅的脚本

final?=?[184,?132,?137,?215,?146,?65,?86,?157,?123,?100,?179,?131,?112,?170,?97,?210,?163,?179,?17,?171,?245,?30,?194,
?????????144,?37,?41,?235,?121,?146,?210,?174,?92,?204,?22]
xor?=?[14,?14,?68,?80,?29,?201,?241,?46,?197,?208,?123,?79,?187,?55,?234,?104,?40,?117,?133,?12,?67,?137,?91,?31,?136,
???????177,?64,?234,?24,?27,?26,?214,?122,?217]

flag?=?[chr(xor[i]^final[i]^0xff)?for?i?in?range(len(final))]
print(''.join(flag))

感谢oacia师傅的分享

文章来源:https://blog.csdn.net/YJ_12340/article/details/134999781
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。