看雪.纽盾 KCTF 2019 Q2 | 第五题点评及解题思路

各位朋友周末快乐！昨日我们公布了本次Q2的比赛成绩，戳： 【英雄榜单】看雪.纽盾 KCTF 晋级赛Q2 排行榜出炉！ 恭喜获奖的选手们！

目前我们正在对赛题进行逐一讲解，比赛期间没有做出来的小伙伴们也不要灰心，请持续关注我们，或许点评与解析会让你茅塞顿开哦！

今天我们将继续对第五题《丛林的秘密》进行题目点评与解析。

题目背景：

郁郁葱葱都树林之后，是一只只光亮的眼睛。

外星人的活力集中在亚欧大陆上，位于南美洲的亚马逊森林，此时仿佛是世外桃源。阳光通过高耸的树木，散落下来，洒在满地的落叶上。行走在其中，仿佛进入了一场大型动物博览会，天上飞的、树上爬的、地上走的、水里游的，应有尽有，看的人眼花缭乱。不知不觉走了很远，却仍然困在这个森林中。一不小心，你落入了一个深不见底的深坑中，身体不断的陷入黑暗，下沉、下沉、下沉......突然一束刺眼的光闪入你的眼睛，那是能量宝石！可是能量宝石在深坑的底部，无论你如何的向下坠落，似乎都无法到达底部......

本题共有2057人围观，最终有35支团队攻破成功。

攻破此题的战队排名一览：

接下来让我们一起看看这道题究竟有何玄妙之处吧！

这道题的难度初级，主要逻辑在WebAssembly中，只要保存下来用wasm2c反编译成c代码，即可获取flag。

参赛的题目是一个安卓的程序，由于安卓webview在4.4后开始使用chrome的内核，所以经过测试，安卓8.1及以上的webview版本是可以成功的执行webassembly的。（低版本没有测，该题目不能保证在低版本下成功运行）。

故使用webassembly作为出题的依据，由于无法像桌面版的chrome那样直接动态调试webassembly，解题者需要讲安卓程序上的html网页转移至桌面版即可动态调试。但由于webassembly的字节码不同于x86，需要解题者对webassembly的字节码进行研究才能解题。

首先html网页如下 ：

安卓程序中将main.wasm直接作为二进制的字符串放在了html中，但是解题流程不变化。

html中调用了wasm中的check_flag函数进行验证。

wasm的源码（由于源码过长，请点击阅读原文在原帖下载）

最根本的算法就是一个32*32的线性方程组，函数为xxx（），而o,oo等八个函数只是简单的做了一个异或运算，迷惑解题者。

线性方程组的A和b为：

b：

解题者需要利用脚本文件去读取这些参数并求解。解为：

S0m3time_l1tt1e_c0de_1s_us3ful33

而由于o、oo等八个函数只是做异或运算，可以得到flag为：

K9nXu3_2o1q2_w3bassembly_r3vers3

只有一个activiy，其中最主要的是一个webview，通过loadurl(127.0.0.1:8000)来解析html。

但是程序中还写了一个textview，一个button和一个edittext来迷惑解题者。

主要代码：

native的函数主要工作为，实现一个简单的http服务器，内容为上面的wasm代码。

代码请见文末左下角阅读原文。

本题解题思路由看雪论坛 风间仁 提供：

这个是Web页面， url: http://127.0.0.1:8000 。

public class MainActivity extends AppCompatActivity {
    private Button button1;
    private EditText eText1;
    private TextView txView1;
    public String url;
 
    static {
        System.loadLibrary("gogogo");
    }
 
    public MainActivity() {
        this.url = gogogoJNI.sayHello();
    }
 
    protected void onCreate(Bundle arg3) {
        ...
        this.findViewById(2131165318).loadUrl(this.url);
        this.findViewById(2131165318).getSettings().setJavaScriptEnabled(true);
        ...
    }
}
 
jstring __fastcall Java_com_example_assemgogogo_gogogoJNI_sayHello(JNIEnv *a1)
{
  // http://127.0.0.1:8000
  for ( i = 0; i != 21; ++i )
    url[i] = byte_2D28[i] ^ 0x66;
  url[21] = 0;
  return (*v2)->NewStringUTF(v2, url);
}

在JNI_OnLoad中监听8000端口，发送html页面。

 .text:00000D1A                 ADD             R1, PC  ; "8000"
...
.text:00000D26                 BLX             getaddrinfo
 
.text:00000C50                 ADD             R0, PC  ; "HTTP/1.1 200 OK\r\nContent-Type: text/h"...
...
.text:00000C60                 BLX             accept
...
.text:00000CA6                 BLX             send

html页面：

 <html>
<script>
var instance;
 
WebAssembly.compile(new Uint8Array(`
 ...
`.trim().split(/[\s\r\n]+/g).map(str => parseInt(str, 16))
)).then(module => {
  new WebAssembly.instantiate(module).then(results => {
  instance = results;
}).catch(console.error);})
function check_flag(){
  var value = document.getElementById("key_value").value;
  if(value.length != 32)
  {
  document.getElementById("tips").innerHTML = "Not Correct!";
    return;
  }
  instance.exports.set_input_flag_len(value.length);
  for(var ii=0;ii<value.length;ii++){
      instance.exports.set_input_flag(value[ii].charCodeAt(),ii);
  }
  var ret =  instance.exports.check_key();
 
  if (ret == 1){
   document.getElementById("tips").innerHTML = "Congratulations!"
  }
  else{
    document.getElementById("tips").innerHTML = "Not Correct!"
  }
}
</script>
<body>
   <div>Key: <input id="key_value" type="text" name="key" style="width:60%" ;="" value=""> <input type="submit" value="check" onclick="check_flag()"></div>
 
</body></html>

主要逻辑在WebAssembly中，保存下来用wasm2c反编译成c代码：

https://github.com/WebAssembly/wabt

./wasm2c test.wasm -o test.c

1、 看雪.纽盾 KCTF 2019 Q2 | 第一题点评及解题思路

2、 看雪.纽盾 KCTF 2019 Q2 | 第三题点评及解题思路

3、看雪.纽盾 KCTF 2019 Q2 | 第二题点评及解题思路

4、 看雪.纽盾 KCTF 2019 Q2 | 第四题点评及解题思路

5、 【英雄榜单】看雪.纽盾 KCTF 晋级赛Q2 排行榜出炉！

主办方

看雪学院（www.kanxue.com）是一个专注于PC、移动、智能设备安全研究及逆向工程的开发者社区！创建于2000年，历经19年的发展，受到业内的广泛认同，在行业中树立了令人尊敬的专业形象。平台为会员提供安全知识的在线课程教学，同时为企业提供智能设备安全相关产品和服务。 

合作伙伴

上海纽盾科技股份有限公司（ www.newdon.net ）成立于2009年，是一家以“网络安全”为主轴，以“科技源自生活，纽盾服务社会”为核心经营理念，以网络安全产品的研发、生产、销售、售后服务与相关安全服务为一体的专业安全公司，致力于为数字化时代背景下的用户提供安全产品、安全服务以及等级保护等安全解决方案。

小手一戳，了解更多

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

戳原文，查看更多精彩writeup！