本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,禁止未经许可将本博客内所有内容转载、商用。
“横看成岭侧成峰,远近高低各不同”
——苏轼
大家好,紧张的游戏安全竞赛结束了,虽然结果还没有揭晓,但是我已经迫不及待的想和大家分享我的做题思路(其实是我记性不好很容易忘记,赶紧写下来)。
吾爱破解的WriteUp链接:https://www.52pojie.cn/forum-77-1.html
0x00 これは何ですか
拿到题目,直接运行,发现屏幕上只有一个箭头,顺着箭头的方向拖动几下,嗯?有一些杂乱无章的方块。这时我意识到,这里杂乱无章的方块应该就是FLag,这下子可难住我了,从来没有接触过,也没有试过写3d图形界面。但是,通过分析代码就应该能够找到线索,之后顺藤摸瓜,就知道怎么做了。得嘞,咱们先解包再说。
0x01 NativeActivity初探
按照惯例,把APK拖到jadax,结果发现啥都没有!仔细翻了翻,还是一点有用的代码都没有!脑子中飘过无数的反调试、反反编译技术,后来定了定神,我们不还是有一个so嘛。把so拖到IDA,搜索关键字“Java”一般native方法都会有这个关键词,结果还是啥都没有!再搜索“Activity”关键字,总算是见到了“AnativeActivity”。不太懂这是什么,先google一下。看了看资料才知道,原来是native方法,用c++写的activity,感觉自己Android开发学的并不扎实这里坑了下。参考着[1][2]学习了下NativeActivity的开发和代码。具体的加载流程我们就不赘述了,建议先看完这两篇参考文献再看下面内容。我们先追到ANativeActivity_onCreate函数,这也是我们的程序入口。对这前面两篇文章的代码,自己一点点标记函数。
其他的函数我们不用关系,红框中标记的内容就是处理消息、绘制窗口的函数线程。我们继续跟进这个函数,这个函数主要就是一些配置环境、创建消息队列之类的工作,其中有一个我们比较关心,就是处理各种消息的线程,我们也称之为app_main。把android_app_entry这个函数也贴一下。
红框中就是我们需要的app_main函数,这个函数主要是不断地在消息循环里面抓取消息进行处理,或者做其他事情,直到控制退出,最终Activity随着Apk一起退出。那么他到底是做了什么呢?
可以看到他用ALooper_pollAll抓取时间,然后丢给sub_30098函数去处理,跟进去一看,我的乖乖这函数可不得了,这么长,其中还有很复杂的计算。看了看调用的第一个函数glClearColor,百度一下,OpenGL?哈,看来找对了。
0x10 OpenGL和EGL初探
虽说自己知道OpenGL是用来渲染2D、3D图像的,但是自己也没学过。看了下OpenGL和EGL的科普[3],还是有点不懂,不过也无所谓,代码在那里,先找找教程看看有没得什么可对照的,这一找可不要紧,教程[4]里面写的清清楚楚,看了看函数,再看了看资源,基本上一模一样啊,就这样把函数标记了一下。
OpenGL里面有局部空间、世界空间、观察空间、裁剪空间,对应的有三个矩阵模型矩阵、观察矩阵、投影矩阵。这几个名词在我提供的教程中已经有很详尽的叙述,我拿一个正方体举例。假设正方体贴近地面、正对着你的那面的左下角为坐标原点(0,0,0),那么该面右下角的点坐标就是(1,0,0),以此类推。也就是说,我们正方体模型的所有顶点都在这个局部空间内,也就是相对于我们物体来说,是局部的;那么我们构建的世界不可能只有一个正方体,而这个正方体也可能在任意位置、任意朝向,放我们把他放到世界里的时候,这就是世界空间。而我们从局部空间变换到世界空间的这个过程,是模型矩阵帮我们完成的;观察空间,就是我们的视角(也成为摄像机)能够看到的内容,我们刚刚存储在世界空间里面的物体,需要经过一些变换,这个变换是观察矩阵完成的;最后不在我们视角范围内的物品需要裁减掉,这就是裁剪空间。裁剪的过程由投影矩阵帮我们完成。我上文说过,他应该是通过旋转视角挡住了Flag那么我们旋转回去就行了。旋转摄像机,我们需要修改观察矩阵(view)。上图红框内容就设置view矩阵,v65指向的就是view矩阵。
0x11 教练,我想看到Flag
其实要做的很简单,找到旋转镜头的方式,逆向推回去,然后重新设置view矩阵就好撒。但是我懒!我很懒!我不想看代码!那直接修改也好的嘛。使用IDA动态调试下APK,看到了view矩阵,改动确实很大,想动态修改IDA却不提供这个功能,这就让我十分怀念OD,怀念在x86下面搞逆向的日子(误)。此路不通,就只能patch so咯,之前自己没做过,正好也尝试下。还是上一张图里面的代码,看看v65被sub_30F14修改了,我们直接跳到这个函数里面,直接设置我们想要的view矩阵的值。这里推荐一个小工具Arm汇编转换工具[5],可知写汇编,然后直接转成二进制的机器码,超级方便。我们要修改的矩阵是这样的
view[0]~view[3]:0.01599892 0.0 0.0 0.0 view[4]~view[7]: 0.0 0.02299991 0.0 0.0 view[8]~view[11]: 0.0 0.0 0.002999958 0.0 view[12]~view[15]: 0.0 0.0 -9.000000 1.000000
都是float数据,我一时也不知道什么比较好的转换工具,个人比较喜欢用Python,就用python的pack函数做了float to Hex的转化,这个挺简单的,可以百度出来。修改过程,就是不同的MOV R0,#view_value;STR R0,view[x]。就这样,一个值一个值的存储进去,最后别忘了删掉原来函数中修改view矩阵数值的部分。这里不建议之间删除机器码,因为文件长度、函数位置都会改变,直接改成0x00 00 nop掉就好。放几张修改时的汇编代码。
修改之前:
修改之后:
patch之后使用apktool重打包、重签名、再安装。最终看到了Flag。
参考文献:
[1] https://blog.csdn.net/ldpxxx/article/details/9253369
[2] https://blog.csdn.net/jscese/article/details/51005447
[3] https://blog.csdn.net/lewif/article/details/50946236
[4] https://learnopengl-cn.github.io/01%20Getting%20started/08%20Coordinate%20Systems/
[5] https://bbs.pediy.com/thread-195634.htm