Android逆向练习(一)smali

刚刚开始接触Android逆向方面的东西,之前了解了点smali,正好找到个新手crackme,打算试一下。虽然简单到不能再简单,但是成功后还是很开心,写下过程记录一下。
由于在工作再mac上,平时也就一直用mac,没有像windows平台那么好用的相关软件,就用的临时找到的一些工具:AndroidCrackTool、APKTool、BytecodeViewer
先来一张截图,输入用户名和16位注册码,然后注册(作弊直接得到答案)。注册成功或者失败都会有toast提示。



第一种尝试:直接注册成功
反编译后得到smali,查找string“无效用户名或注册码”,最终定位到相关代码在onClick方法

    <string name="unsuccessed">无效用户名或注册码</string>
    <string name="successed">恭喜您!注册成功</string>
    .field public static final unsuccessed:I = 0x7f05000b
    .line 116
    invoke-direct {p0, v0, v1}, Lcom/droider/crackme0201/MainActivity;->checkSN(Ljava/lang/String;Ljava/lang/String;)Z  # checkSN类型是Z---布尔型

    move-result v0  # checkSN返回值

    .line 117
    if-nez v0, :cond_0  # 如果是0继续往下走,如果不是0跳转到cond_0

    .line 119
    const v0, 0x7f05000b  # 无效用户名或注册码

    .line 118
    invoke-static {p0, v0, v2}, Landroid/widget/Toast;->makeText(Landroid/content/Context;II)Landroid/widget/Toast;

    move-result-object v0

    .line 119
    invoke-virtual {v0}, Landroid/widget/Toast;->show()V

这里调用了MainActivity里的checkSN(boolean),如果返回了False,就提示无效用户名或注册码,如果返回了True,就能注册成功。这里直接修改就行了,也可以到checkSN修改。

第二种尝试:找到并还原注册码
跟踪checkSN(boolean)方法,看看里面是怎么计算注册码的,一点点的加了注释。

.method private checkSN(Ljava/lang/String;Ljava/lang/String;)Z
    .locals 10
    .param p1, "userName"    # Ljava/lang/String;
    .param p2, "sn"    # Ljava/lang/String;

    .prologue
    const/4 v7, 0x0

    .line 45
    if-eqz p1, :cond_0  # userName为空就直接cond_0 return v7(False)

    :try_start_0
    invoke-virtual {p1}, Ljava/lang/String;->length()I  # userName的长度

    move-result v8

    if-nez v8, :cond_1  # userName的长度不为0,跳cond_1,否则return v7(False)

    .line 69
    :cond_0
    :goto_0
    return v7

    .line 47
    :cond_1
    if-eqz p2, :cond_0  # sn为空时,跳cond_0,return v7(False)

    invoke-virtual {p2}, Ljava/lang/String;->length()I

    move-result v8  # sn长度

    const/16 v9, 0x10   # 16

    if-ne v8, v9, :cond_0   # 如果sn长度不等于16,跳cond_0,return v7(False)

    .line 49
    const-string v8, "MD5"

    invoke-static {v8}, Ljava/security/MessageDigest;->getInstance(Ljava/lang/String;)Ljava/security/MessageDigest;

    move-result-object v1   # 这里很明使用了MessageDigest(MD5)

    .line 50
    .local v1, "digest":Ljava/security/MessageDigest;
    invoke-virtual {v1}, Ljava/security/MessageDigest;->reset()V

    .line 51
    invoke-virtual {p1}, Ljava/lang/String;->getBytes()[B

    move-result-object v8

    invoke-virtual {v1, v8}, Ljava/security/MessageDigest;->update([B)V

    .line 52
    invoke-virtual {v1}, Ljava/security/MessageDigest;->digest()[B

    move-result-object v0   # 得到byte型的数据

    .line 53
    .local v0, "bytes":[B
    const-string v8, ""

    invoke-static {v0, v8}, Lcom/droider/crackme0201/MainActivity;->toHexString([BLjava/lang/String;)Ljava/lang/String;

    move-result-object v3   # 通过MainActivity的toHexString函数转化成String类型

到这里可以看出使用了MessageDigest(md5)处理了输入的username,输出是byte,后面又用了toHexString转成了String。
继续往下看

    .line 55
    .local v5, "sb":Ljava/lang/StringBuilder;
    const/4 v4, 0x0 # v4 = 0

    .local v4, "i":I
    :goto_1
    invoke-virtual {v3}, Ljava/lang/String;->length()I

    move-result v8  # v3的长度(经过toHexString转化的结果)

    if-lt v4, v8, :cond_2   # v4小于v3的长度,跳转cond_2

    .line 58    #   跳出循环后
    invoke-virtual {v5}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;

    move-result-object v6

    .line 60
    .local v6, "userSN":Ljava/lang/String;
    const-string v8, "TAG"

    invoke-static {v8, v6}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I

    .line 63
    invoke-virtual {v6, p2}, Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z

    move-result v8  # 判断最终的值是否和输入的sn相等

    if-eqz v8, :cond_0  # 相等的话就v7 = 0x1,checkSN方法return True,

    .line 69
    const/4 v7, 0x1

    goto :goto_0

    .line 56
    .end local v6    # "userSN":Ljava/lang/String;
    :cond_2
    invoke-virtual {v3, v4}, Ljava/lang/String;->charAt(I)C

    move-result v8  # charAt v3[v4]

    invoke-virtual {v5, v8}, Ljava/lang/StringBuilder;->append(C)Ljava/lang/StringBuilder;
    :try_end_0
    .catch Ljava/security/NoSuchAlgorithmException; {:try_start_0 .. :try_end_0} :catch_0

    .line 55
    add-int/lit8 v4, v4, 0x2    # v4 += 2

    goto :goto_1    # 到这里就能看出来其实是个循环,类似for(i=0;;i+=2),直到index大于v3的长度,则停止cond_2

可以看出,对输出做了进一步处理,取0、2、4、8...位,然后判断输入的sn是否等于计算过的码,相等就通过验证返回True。知道里面的逻辑,手痒想试试,于是又简单的学了下python,写个脚本出来验证下。初学者,写的很粗糙。。。肯定还会有更优的写法,也请各位大牛帮忙指正。

#!usr/bin/python
# -*- coding:utf-8 -*-
import os
import hashlib
import binascii

def check_sn(username):
    tem = md5(username)
    tem_str = ""
    for index in range(0,len(tem),2): 
        tem_str = tem_str + tem[index]
    print "Result: ", tem_str

def md5(str):
    import hashlib
    m = hashlib.md5()   
    m.update(str)
    return m.hexdigest()

if __name__ == '__main__':
    username = "qwertyuiop"
    print "username: ", username
    print check_sn(username)

测试一下,随便的打一排“qwertyuiop”,运行得到结果:6e97f97a65edfc5e

crackme-cmdresult.png

把他输入到程序中,字符太长了比较懒,直接adb shell input text "6e97f97a65edfc5e"

crackme-input.png

crackme-result.png

哈,到此完成,感谢提供crackme的人,让我们有可供练手的低难度的素材来练习。
本crackme链接,不知道上传百度云链接是否违规,先试试吧
https://pan.baidu.com/s/1csAjam 密码: kss4

---------------------- 更新 -------------------------
还有一个比较笨的方法,程序中在关键部位打了log,也就说只要让程序走到这里就行,条件是输入正常的用户名和任意16位密码,然后打开logcat就可以直接查看正确的注册码了

.line 60
    .local v6, "userSN":Ljava/lang/String;
    const-string v8, "TAG"

    invoke-static {v8, v6}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容