“工欲善其事,必先利其器”
——《论语·魏灵公》
最近参加了腾讯游戏安全技术竞赛,话说这个比赛我已经参加了3年了,第一年,什么都没看懂;第二年,题目做出来一半;第三年,我花了5天做完了最简单的题目。自己虽然自信满满,觉得可以做到高级赛题,可是比赛的时候并不顺利,遇到了层层阻隔。最终可能是由于提交时间过晚,没有晋级决赛吧。我想把这些写下来和大家分享,或者说,提醒自己更合适。
一、赛题解析
那么,我们首先来说说这次的题目吧。刚拿到赛题的时候,我觉得似曾相识,仔细看下去,发现和去年的题目大同小异。
拿到Apk之后,首先拖到jadx,如我所料,java代码里面没有什么有价值的内容,主要还是native代码。将libnative-lib.so拖入IDA,定位到检查key和code的函数:Java_com_qq_gslab_regme_MainActivity_checkReg,代码将接受到的key和code传入sub_51B0进行检查,主要的检查逻辑也在此处。
0x01 key的合法性?
首先遇到的是sub_4864,跟进去读IDA生成的伪代码发现是检查字符串长度,key的长度应该为39。
之后又对字符串进行了一系列操作。
因此我们得到了完整的key格式约束:长度应该为39,每四个字符以“#”分隔,字符范围应该在“0123456789ABCDEF”,不区分大小写,但是计算code时使用大写字母进行计算。为了方便叙述,将key以#分隔,分为8个段,以segment0~segment7来表示。即XXXX#XXXX#XXXX#XXXX#XXXX#XXXX#XXXX#XXXX。
0x02 key的5个校验值
在key的合法性验证通过之后,继续使用key生成5个校验数,这个校验数在之后会用到。这5个校验数计算方式如下:
I1 = 0L; I1 += (segment0[0] * segment1[0]) <<16; I1 += segment0[1] ^ segment2[1]; I1 += (segment0[2] % (segment3[2] + 1)) +1; I1 += segment0[3] / (segment4[3] +1); I2 = 0L; I2 += (segment1[0] ^ segment5[0])<<16; I2 += (segment1[1] % (segment6[1] + 3)); I2 += (segment1[2] / (segment7[2] + 1)) +5; I2 += segment1[3] + segment0[3]; I3 = 0L; I3 += (segment2[0] / (segment1[0] +3)) <<16; I3 = (segment2[1] % segment3[1]) ^ I3; I3 += segment2[2] + segment5[2] + 12; I3 += segment2[3] + segment7[3]; I4 = 0L; I4 += segment0[1] ^ segment2[3]; I4 *= segment1[3] + segment3[1]; I4 = (segment4[2] & segment5[2]) & (I4 & 0xFFFFFFFF); I4 *= segment7[3]; I4 += I2; I4 *= segment6[0] * I1; I4 -= (I4 - I2 )% (I1 *2); I5 = 0L; I5 += (segment3[0] ^ segment4[0]) <<16; I5 *= segment3[1] % (segment4[1] +2); I5 += (segment3[2] % (segment4[2] +5 )) + 7; I5 += segment3[3] * segment4[3];
0x03 code解码
到此为止,我们的key就没有使用价值了,接下来都是对code 的检查。首先是sub_7114对code进行一个base64解码。但是这个base64解码和常规的有些不同,字符表被替换为
ZO6Kq79L&CPWvNopzQfghDRSG@di*kAB8rsFewxlm+/u5a^2YtTJUVEn0$HI34y#
对于生成的每个十进制码x,要做一个x^(x>>3)的变换,并以此为索引,替换在字符集中的相应字符。
0x04 分水岭!
接下来的就是进阶和标准的分界点了。由于我此次做出的标准等级。所以接下来的流程比较简单。
首先是code解码后长度检查,题目中要求解码后的code 长度应该为32字节。每8个字节为一组,记为Group1,Group2,Group3,Group4。将Group1,Group2,Group3和之前计算出的五个校验值,视为64bit长的数字,并应满足如下方程:
令Group1 = x, Group2 = y, Group3 = z; I1* x^2 + I2* y + I3 – y = 0 I4* x + I3 - y = (I2-I4)^2/ (4*I1)
求解这个方程组得到:
x = (I2-I4)/(2*I1) y = (I1*x + I2)*x+I3
z的方程比较简单:
z = ( I1*I5 + I2)*I5 +I3
最后使用java写的注册机,做成了一个apk。提供一组成功的值。代码自下。
Key:1111#1111#1111#1111#1111#1111#1111#1111
Code:ZZZpxEZZZZ6tNCl4ZZk0Fs0x4DG0$zDZNQeUNKq#EZZ=
二、我踩到的坑
1.工欲善其事,必先利其器。这次的比赛,并没有做好充足的准备,首先是自己觉得之前参加过比赛,有了比赛经验之后,没有去参考其他比赛的内容,导致最开始上手的时候,折腾了好久汇编。其次呢,就是没有找好调试机器,自己想当然的觉得肯定没问题,可是等到真的开始调试的的时候,又遇到了超级多的bug,比如64位的机器能不能动态调试so库,什么样的手机才能调试,自己如何寻找到能够调试的方法。这些都是问题。如果能够早点进行准备的话, 就不会在调试机器上面耽误1天时间,能够节省下来看其他的代码。第三,就是自己明知道是有加密算法的,但是却没有准备相关的逆向知识,导致高级算法根本就看不出来是什么。虽然这些加密算法都有一个独特的特征,但是如何能够识别却还是需要经验的。最后就是不要太相信自己的能力,虽然直接看汇编进行逆向固然好,可是有现成的工具又为什么不用呢?最后两个方程,自己看了几个小时,还不及IDA7.0 F5一下。一句“无他,唯手熟尔”包含着多少默默付出。
2.根据自己的需求,选择好最合适的语言再进行开发。这次比赛我首先使用的是python语言。为什么?自己最熟悉而且可以省略很多底层的操作(由于知道算法中有大数运算),就是这一点让自己吃了大亏。后面底层的操作,本来取低64位的操作可以进行&0xFFFFFFFFFFFFFFFF或者进行mod 2**64,但是无论如何都得不到想要的结果,而且Python使用bin的时候正数很正常,但是负数的话是正数的bin前面加上负号,也就是-5表示成 -101。但是如果换做Java就没有这些问题,而且还有大数库可以很好地操作64位乘法。所以啊,有些事情不是看看就会的,还是要动手调试。“绝知此事要躬行”眼高手低要不得。
3.缺少“撸起袖子加油干”的精神。嗯。。。这也是自己一直以来的一个通病吧,就是干活的时候喜欢听音乐、听相声、听视频,应该说是因为自己比较偷懒,想一直看视频、看相声,自己从骨子里就是有股惰性,而虽然我表面上在干活,可是内心里却已经放飞。这种隐藏摸鱼的手法,虽然自己觉着可能工作中比较轻松,但是却大大增加了开发的周期,影响了效率。正好借着耳机坏了的机会,把自己的这个毛病好好扳一扳。“空谈误国,实干兴邦”,自己不知何时变得浮躁,还是要踏踏实实的干下去。
4.无论何时,编程能力都是重中之重。编程可谓是安全人员的工作基石,可是自己的编程能力不过关。别的姑且不论,就拿大端小端来说,弄了那么久都没有弄对,究其本质,还是自己的基础知识不过关。自己经常说记性不好,可是记性不好并不是失败的借口,接下来,努力强化记忆吧。5."I always do what I can not do ,so that I can know how to do."说起来比较有意思,这句话是从基友衣服上面看到的,有点意思,谨记吧。
那么我自己的优点呢我觉得还是有一些的。1.耐心好,能够耐着性子看完汇编
2.联想能力比较好,快速的联想到了去年的比赛,从而加速了开发的进程。
3.已经掌握了较多的技巧,知道如何去动态,如何去寻找工具。
这并不是一件坏事,在这个找工作和做毕设的紧要关头,这一个比赛暴露了自己的缺点,改正就行了。希望来年,不要再写出这几点缺点,争取做完全部内容。同时,表达能力啊喂,自己多看一看文章,多写一些内容,干得多也要说得多。我这个人记打不记吃,而且比较喜欢和别人比较找出自己的弱点,并且一定要改正。已经尝试戒掉听音乐3天,工作效率有所提高,想渐渐改掉摸鱼的习惯。