Android逆向練習(一)smali

剛剛開始接觸Android逆向方面的東西,之前了解了點smali,正好找到個新手crackme,打算試一下。雖然簡單到不能再簡單,但是成功后還是很開心,寫下過程記錄一下。
由于在工作再mac上,平時也就一直用mac,沒有像windows平臺那么好用的相關軟件,就用的臨時找到的一些工具:AndroidCrackTool、APKTool、BytecodeViewer
先來一張截圖,輸入用戶名和16位注冊碼,然后注冊(作弊直接得到答案)。注冊成功或者失敗都會有toast提示。



第一種嘗試:直接注冊成功
反編譯后得到smali,查找string“無效用戶名或注冊碼”,最終定位到相關代碼在onClick方法

    <string name="unsuccessed">無效用戶名或注冊碼</string>
    <string name="successed">恭喜您!注冊成功</string>
    .field public static final unsuccessed:I = 0x7f05000b
    .line 116
    invoke-direct {p0, v0, v1}, Lcom/droider/crackme0201/MainActivity;->checkSN(Ljava/lang/String;Ljava/lang/String;)Z  # checkSN類型是Z---布爾型

    move-result v0  # checkSN返回值

    .line 117
    if-nez v0, :cond_0  # 如果是0繼續往下走,如果不是0跳轉到cond_0

    .line 119
    const v0, 0x7f05000b  # 無效用戶名或注冊碼

    .line 118
    invoke-static {p0, v0, v2}, Landroid/widget/Toast;->makeText(Landroid/content/Context;II)Landroid/widget/Toast;

    move-result-object v0

    .line 119
    invoke-virtual {v0}, Landroid/widget/Toast;->show()V

這里調用了MainActivity里的checkSN(boolean),如果返回了False,就提示無效用戶名或注冊碼,如果返回了True,就能注冊成功。這里直接修改就行了,也可以到checkSN修改。

第二種嘗試:找到并還原注冊碼
跟蹤checkSN(boolean)方法,看看里面是怎么計算注冊碼的,一點點的加了注釋。

.method private checkSN(Ljava/lang/String;Ljava/lang/String;)Z
    .locals 10
    .param p1, "userName"    # Ljava/lang/String;
    .param p2, "sn"    # Ljava/lang/String;

    .prologue
    const/4 v7, 0x0

    .line 45
    if-eqz p1, :cond_0  # userName為空就直接cond_0 return v7(False)

    :try_start_0
    invoke-virtual {p1}, Ljava/lang/String;->length()I  # userName的長度

    move-result v8

    if-nez v8, :cond_1  # userName的長度不為0,跳cond_1,否則return v7(False)

    .line 69
    :cond_0
    :goto_0
    return v7

    .line 47
    :cond_1
    if-eqz p2, :cond_0  # sn為空時,跳cond_0,return v7(False)

    invoke-virtual {p2}, Ljava/lang/String;->length()I

    move-result v8  # sn長度

    const/16 v9, 0x10   # 16

    if-ne v8, v9, :cond_0   # 如果sn長度不等于16,跳cond_0,return v7(False)

    .line 49
    const-string v8, "MD5"

    invoke-static {v8}, Ljava/security/MessageDigest;->getInstance(Ljava/lang/String;)Ljava/security/MessageDigest;

    move-result-object v1   # 這里很明使用了MessageDigest(MD5)

    .line 50
    .local v1, "digest":Ljava/security/MessageDigest;
    invoke-virtual {v1}, Ljava/security/MessageDigest;->reset()V

    .line 51
    invoke-virtual {p1}, Ljava/lang/String;->getBytes()[B

    move-result-object v8

    invoke-virtual {v1, v8}, Ljava/security/MessageDigest;->update([B)V

    .line 52
    invoke-virtual {v1}, Ljava/security/MessageDigest;->digest()[B

    move-result-object v0   # 得到byte型的數據

    .line 53
    .local v0, "bytes":[B
    const-string v8, ""

    invoke-static {v0, v8}, Lcom/droider/crackme0201/MainActivity;->toHexString([BLjava/lang/String;)Ljava/lang/String;

    move-result-object v3   # 通過MainActivity的toHexString函數轉化成String類型

到這里可以看出使用了MessageDigest(md5)處理了輸入的username,輸出是byte,后面又用了toHexString轉成了String。
繼續往下看

    .line 55
    .local v5, "sb":Ljava/lang/StringBuilder;
    const/4 v4, 0x0 # v4 = 0

    .local v4, "i":I
    :goto_1
    invoke-virtual {v3}, Ljava/lang/String;->length()I

    move-result v8  # v3的長度(經過toHexString轉化的結果)

    if-lt v4, v8, :cond_2   # v4小于v3的長度,跳轉cond_2

    .line 58    #   跳出循環后
    invoke-virtual {v5}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;

    move-result-object v6

    .line 60
    .local v6, "userSN":Ljava/lang/String;
    const-string v8, "TAG"

    invoke-static {v8, v6}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I

    .line 63
    invoke-virtual {v6, p2}, Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z

    move-result v8  # 判斷最終的值是否和輸入的sn相等

    if-eqz v8, :cond_0  # 相等的話就v7 = 0x1,checkSN方法return True,

    .line 69
    const/4 v7, 0x1

    goto :goto_0

    .line 56
    .end local v6    # "userSN":Ljava/lang/String;
    :cond_2
    invoke-virtual {v3, v4}, Ljava/lang/String;->charAt(I)C

    move-result v8  # charAt v3[v4]

    invoke-virtual {v5, v8}, Ljava/lang/StringBuilder;->append(C)Ljava/lang/StringBuilder;
    :try_end_0
    .catch Ljava/security/NoSuchAlgorithmException; {:try_start_0 .. :try_end_0} :catch_0

    .line 55
    add-int/lit8 v4, v4, 0x2    # v4 += 2

    goto :goto_1    # 到這里就能看出來其實是個循環,類似for(i=0;;i+=2),直到index大于v3的長度,則停止cond_2

可以看出,對輸出做了進一步處理,取0、2、4、8...位,然后判斷輸入的sn是否等于計算過的碼,相等就通過驗證返回True。知道里面的邏輯,手癢想試試,于是又簡單的學了下python,寫個腳本出來驗證下。初學者,寫的很粗糙。。。肯定還會有更優的寫法,也請各位大牛幫忙指正。

#!usr/bin/python
# -*- coding:utf-8 -*-
import os
import hashlib
import binascii

def check_sn(username):
    tem = md5(username)
    tem_str = ""
    for index in range(0,len(tem),2): 
        tem_str = tem_str + tem[index]
    print "Result: ", tem_str

def md5(str):
    import hashlib
    m = hashlib.md5()   
    m.update(str)
    return m.hexdigest()

if __name__ == '__main__':
    username = "qwertyuiop"
    print "username: ", username
    print check_sn(username)

測試一下,隨便的打一排“qwertyuiop”,運行得到結果:6e97f97a65edfc5e

crackme-cmdresult.png

把他輸入到程序中,字符太長了比較懶,直接adb shell input text "6e97f97a65edfc5e"

crackme-input.png

crackme-result.png

哈,到此完成,感謝提供crackme的人,讓我們有可供練手的低難度的素材來練習。
本crackme鏈接,不知道上傳百度云鏈接是否違規,先試試吧
https://pan.baidu.com/s/1csAjam 密碼: kss4

---------------------- 更新 -------------------------
還有一個比較笨的方法,程序中在關鍵部位打了log,也就說只要讓程序走到這里就行,條件是輸入正常的用戶名和任意16位密碼,然后打開logcat就可以直接查看正確的注冊碼了

.line 60
    .local v6, "userSN":Ljava/lang/String;
    const-string v8, "TAG"

    invoke-static {v8, v6}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容