Matriy's blog

SUCTF2025 re wpcheckinsuctf{welcome_to_suctf_you_can_really_dance} SU_BBREDeepseek直接梭 一个很明显的rc4，提交发现不对，还有俩功能没用上，后面还有个隐藏校验，如何触发这个校验?设计一些pwn的简单只是，栈溢出，因此输入[buffer] + p32(溢出到的地址) + 溢出值即可 123456789101112131415161718192021222324252627282930313233def rc4_decrypt(key, ciphertext): # Key Scheduling Algorithm (KSA) S = list(range(256)) j = 0 for i in range(256): j = (j + S[i] + key[i % len(key)]) % 256 S[i], S[j] = S[j], S[i] # Pseudo-Random Generation Algorithm (PRGA) ...

DASCTF 2024最后一战 wp(复现)checkin 访问即可 西湖论剑邀请函获取器get_env(name = “FLAG”)即可 Webconst_python123456# 假设存在如下路由处理@app.route('/load')def load_data(): data = base64.b64decode(request.cookies.get('data')) obj = pickle.loads(data) return "Loaded" 题目导入了 pickle、base64 等模块，且存在动态数据处理逻辑（如 Session 管理、身份验证），可能通过反序列化传递对象。 Pickle 协议的本质：Pickle 不是简单的数据序列化，而是能重建任意对象的协议。反序列化时会自动调用 __reduce__ 方法，该方法返回一个可执行函数和参数元组。 在线反弹shell生成工具 – Zgao’s...

Android逆向14-Frida检测来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html 检测文件名、端口名、双进程保护、失效的检测点检测/data/local/tmp路径下的是否有frida特征文件，server端改名，例如:fr 指定端口转发 123./fs1 -l 0.0.0.0:6666adb forward tcp:6666 tcp:6666frida -H 127.0.0.1:6666 wuaipojie -l hook.js spawn启动过双进程保护 1frida -U -f 进程名 -l hook.js PS:学会看注入报错的日志，比如说当app主动附加自身进程时，这时候再注入就会提示run frida as root（以spawn的方式启动进程即可） 借助脚本定位检测frida的so 12345678910111213function hook_dlopen() { ...

Android逆向13-例题初级112345方法1:var ClassName=Java.use("com.zj.wuaipojie2024_1.YSQDActivity"); console.log(ClassName.extractDataFromFile("/data/user/0/com.zj.wuaipojie2024_1/files/ys.mp4"));方法2:android intent launch_activity com.zj.wuaipojie2024_1.YSQDActivity 初级2123456789101112131415161718方法1:android intent launch_activity com.kbtx.redpack_simple.FlagActivity方法2:function hookTest1(){ var Arrays = Java.use("java.util.Arrays"); ...

Android逆向12-RPC来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html RPC（Remote Procedure Call Protocol） 是一种远程过程调用协议，允许程序在不同的计算机上请求服务，而无需了解底层网络技术。RPC的主要作用是使不同服务之间的方法调用像本地调用一样便捷 Hook_Libartlibart.so: 在 Android 5.0（Lollipop）及更高版本中，libart.so 是 Android 运行时（ART，Android Runtime）的核心组件，它取代了之前的 Dalvik 虚拟机。可以在 libart.so 里找到 JNI 相关的实现。 PS:在高于安卓10的系统里，so的路径是/apex/com.android.runtime/lib64/libart.so，低于10的则在system/lib64/libart.so 函数名称 参数 描述 返回值 RegisterNatives JNIEnv...

Android逆向11-Frida进阶来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html Frida写数据12345678//一般写在app的私有目录里，不然会报错:failed to open file (Permission denied)(实际上就是权限不足)var file_path = "/data/user/0/com.zj.wuaipojie/test.txt";var file_handle = new File(file_path, "wb");if (file_handle && file_handle != null) { file_handle.write(data); //写入数据 file_handle.flush(); //刷新 file_handle.close(); //关闭} Frida_inlineHook与读写汇编什么是inlinehook？ Inline...

Android逆向10-Frida_Native来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html Process、Module、MemoryProcess 对象代表当前被Hook的进程，能获取进程的信息，枚举模块，枚举范围等 API 含义 Process.id 返回附加目标进程的 PID Process.isDebuggerAttached() 检测当前是否对目标程序已经附加 Process.enumerateModules() 枚举当前加载的模块，返回模块对象的数组 Process.enumerateThreads() 枚举当前所有的线程，返回包含 id, state, context 等属性的对象数组 Module 对象代表一个加载到进程的模块(例如，在 Windows 上的 DLL，或在 Linux/Android 上的 .so...

Android逆向9-Frida入门来自吾爱破解-正己 https://www.52pojie.cn/thread-1701353-1-1.html Frida简介介绍Frida...