題目來源：2019XCTF MOBILE 第三題 題目：安裝包是11.ab，要求密碼驗證登陸。 知識點：Frida objection，SQLCipher加解密，Android備份和還原。 解題過程： 根據(jù)Android備份和還原知識，知道ab文件為backup文件，可以利用abe工具解壓，得到如下文件。

取出base.apk，拉入JADX分析，根據(jù)Android數(shù)據(jù)庫SQLCipher加解密知識，加密的數(shù)據(jù)庫密碼是getWritableDatabase函數(shù)參數(shù)決定的。

下面我們利用X86模擬器安裝apk和frida-servr-android-X86，然后利用Frida Objection打印出getWritableDatabase函數(shù)的入?yún)慝@取數(shù)據(jù)庫密碼。 首先靜態(tài)分析，發(fā)現(xiàn)getWritableDatabase定義在net.sqlcipher.database.SQLiteOpenHelper類中，利用objection確認下getWritableDatabase原型。

然后我們hook這個getWritableDatabase函數(shù)，打印返回值、調(diào)用棧和參數(shù)信息。

根據(jù)源碼分析getWritableDatabase是在MainActivity類的a函數(shù)中調(diào)用的，而a函數(shù)在OnCreate中被調(diào)用，我們打開apk后，getWritableDatabase函數(shù)其實已經(jīng)執(zhí)行完畢了。所以我們采用堆上調(diào)用實例方法的方式。這里注意我們嘗試在啟動objection時添加參數(shù)-d或--startup-command=“android hooking watch…”是沒法hook到MainActivity類的a函數(shù)的。 第一，查看MainActvity類中所以方法列表，可以看到a函數(shù)。

第二，查看MainActvity實例的handle值。

第三，觸發(fā)實例方法a，如下所示，可以看到數(shù)據(jù)庫密碼是“ae56f99”。

拿到數(shù)據(jù)庫密碼后可以用工具查看數(shù)據(jù)庫信息，根據(jù)代碼知道SQLCipher版本是3.4.0。

所以下圖中選擇SQLCipher 3，如下所示

這樣得到flag值，如下光亮處所示，很明顯這是base64加密數(shù)據(jù)。

直接進行base64解碼，這樣我們就得到了flag為Tctf{H3ll0_Do_Y0u_Lov3_Tenc3nt!}

責任編輯：xj

原文標題：逆向基礎題十一：獲取Flag

文章出處：【微信公眾號：Linux逆向】歡迎添加關注！文章轉載請注明出處。