剛剛開始接觸Android逆向方面的東西,之前了解了點smali,正好找到個新手crackme,打算試一下。雖然簡單到不能再簡單,但是成功后還是很開心,寫下過程記錄一下。
由于在工作再mac上,平時也就一直用mac,沒有像windows平臺那么好用的相關軟件,就用的臨時找到的一些工具:AndroidCrackTool、APKTool、BytecodeViewer
先來一張截圖,輸入用戶名和16位注冊碼,然后注冊(作弊直接得到答案)。注冊成功或者失敗都會有toast提示。
第一種嘗試:直接注冊成功
反編譯后得到smali,查找string“無效用戶名或注冊碼”,最終定位到相關代碼在onClick方法
<string name="unsuccessed">無效用戶名或注冊碼</string>
<string name="successed">恭喜您!注冊成功</string>
.field public static final unsuccessed:I = 0x7f05000b
.line 116
invoke-direct {p0, v0, v1}, Lcom/droider/crackme0201/MainActivity;->checkSN(Ljava/lang/String;Ljava/lang/String;)Z # checkSN類型是Z---布爾型
move-result v0 # checkSN返回值
.line 117
if-nez v0, :cond_0 # 如果是0繼續往下走,如果不是0跳轉到cond_0
.line 119
const v0, 0x7f05000b # 無效用戶名或注冊碼
.line 118
invoke-static {p0, v0, v2}, Landroid/widget/Toast;->makeText(Landroid/content/Context;II)Landroid/widget/Toast;
move-result-object v0
.line 119
invoke-virtual {v0}, Landroid/widget/Toast;->show()V
這里調用了MainActivity里的checkSN(boolean),如果返回了False,就提示無效用戶名或注冊碼,如果返回了True,就能注冊成功。這里直接修改就行了,也可以到checkSN修改。
第二種嘗試:找到并還原注冊碼
跟蹤checkSN(boolean)方法,看看里面是怎么計算注冊碼的,一點點的加了注釋。
.method private checkSN(Ljava/lang/String;Ljava/lang/String;)Z
.locals 10
.param p1, "userName" # Ljava/lang/String;
.param p2, "sn" # Ljava/lang/String;
.prologue
const/4 v7, 0x0
.line 45
if-eqz p1, :cond_0 # userName為空就直接cond_0 return v7(False)
:try_start_0
invoke-virtual {p1}, Ljava/lang/String;->length()I # userName的長度
move-result v8
if-nez v8, :cond_1 # userName的長度不為0,跳cond_1,否則return v7(False)
.line 69
:cond_0
:goto_0
return v7
.line 47
:cond_1
if-eqz p2, :cond_0 # sn為空時,跳cond_0,return v7(False)
invoke-virtual {p2}, Ljava/lang/String;->length()I
move-result v8 # sn長度
const/16 v9, 0x10 # 16
if-ne v8, v9, :cond_0 # 如果sn長度不等于16,跳cond_0,return v7(False)
.line 49
const-string v8, "MD5"
invoke-static {v8}, Ljava/security/MessageDigest;->getInstance(Ljava/lang/String;)Ljava/security/MessageDigest;
move-result-object v1 # 這里很明使用了MessageDigest(MD5)
.line 50
.local v1, "digest":Ljava/security/MessageDigest;
invoke-virtual {v1}, Ljava/security/MessageDigest;->reset()V
.line 51
invoke-virtual {p1}, Ljava/lang/String;->getBytes()[B
move-result-object v8
invoke-virtual {v1, v8}, Ljava/security/MessageDigest;->update([B)V
.line 52
invoke-virtual {v1}, Ljava/security/MessageDigest;->digest()[B
move-result-object v0 # 得到byte型的數據
.line 53
.local v0, "bytes":[B
const-string v8, ""
invoke-static {v0, v8}, Lcom/droider/crackme0201/MainActivity;->toHexString([BLjava/lang/String;)Ljava/lang/String;
move-result-object v3 # 通過MainActivity的toHexString函數轉化成String類型
到這里可以看出使用了MessageDigest(md5)處理了輸入的username,輸出是byte,后面又用了toHexString轉成了String。
繼續往下看
.line 55
.local v5, "sb":Ljava/lang/StringBuilder;
const/4 v4, 0x0 # v4 = 0
.local v4, "i":I
:goto_1
invoke-virtual {v3}, Ljava/lang/String;->length()I
move-result v8 # v3的長度(經過toHexString轉化的結果)
if-lt v4, v8, :cond_2 # v4小于v3的長度,跳轉cond_2
.line 58 # 跳出循環后
invoke-virtual {v5}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;
move-result-object v6
.line 60
.local v6, "userSN":Ljava/lang/String;
const-string v8, "TAG"
invoke-static {v8, v6}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I
.line 63
invoke-virtual {v6, p2}, Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z
move-result v8 # 判斷最終的值是否和輸入的sn相等
if-eqz v8, :cond_0 # 相等的話就v7 = 0x1,checkSN方法return True,
.line 69
const/4 v7, 0x1
goto :goto_0
.line 56
.end local v6 # "userSN":Ljava/lang/String;
:cond_2
invoke-virtual {v3, v4}, Ljava/lang/String;->charAt(I)C
move-result v8 # charAt v3[v4]
invoke-virtual {v5, v8}, Ljava/lang/StringBuilder;->append(C)Ljava/lang/StringBuilder;
:try_end_0
.catch Ljava/security/NoSuchAlgorithmException; {:try_start_0 .. :try_end_0} :catch_0
.line 55
add-int/lit8 v4, v4, 0x2 # v4 += 2
goto :goto_1 # 到這里就能看出來其實是個循環,類似for(i=0;;i+=2),直到index大于v3的長度,則停止cond_2
可以看出,對輸出做了進一步處理,取0、2、4、8...位,然后判斷輸入的sn是否等于計算過的碼,相等就通過驗證返回True。知道里面的邏輯,手癢想試試,于是又簡單的學了下python,寫個腳本出來驗證下。初學者,寫的很粗糙。。。肯定還會有更優的寫法,也請各位大牛幫忙指正。
#!usr/bin/python
# -*- coding:utf-8 -*-
import os
import hashlib
import binascii
def check_sn(username):
tem = md5(username)
tem_str = ""
for index in range(0,len(tem),2):
tem_str = tem_str + tem[index]
print "Result: ", tem_str
def md5(str):
import hashlib
m = hashlib.md5()
m.update(str)
return m.hexdigest()
if __name__ == '__main__':
username = "qwertyuiop"
print "username: ", username
print check_sn(username)
測試一下,隨便的打一排“qwertyuiop”,運行得到結果:6e97f97a65edfc5e
crackme-cmdresult.png
把他輸入到程序中,字符太長了比較懶,直接adb shell input text "6e97f97a65edfc5e"
crackme-input.png
crackme-result.png
哈,到此完成,感謝提供crackme的人,讓我們有可供練手的低難度的素材來練習。
本crackme鏈接,不知道上傳百度云鏈接是否違規,先試試吧
https://pan.baidu.com/s/1csAjam 密碼: kss4
---------------------- 更新 -------------------------
還有一個比較笨的方法,程序中在關鍵部位打了log,也就說只要讓程序走到這里就行,條件是輸入正常的用戶名和任意16位密碼,然后打開logcat就可以直接查看正確的注冊碼了
.line 60
.local v6, "userSN":Ljava/lang/String;
const-string v8, "TAG"
invoke-static {v8, v6}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I
