如意云-莘家小站

  • 首页
  • 友链
  • 关于
如意云-莘家小站
这是一个记录生活和技术学习的个人博客.
  1. 首页
  2. 程序开发实例
  3. 正文

闲来无事的一次反编译:智慧河小科单机版

2021年9月19日 3723点热度 5人点赞 0条评论

最近开始上外方课,真的听得云里雾里,听说我校请假小程序有老哥做了单机版,遂尝试淦他(貌似是妹子做的,但是下文还是称呼为老哥)一波。

我在测试阶段便潜入了老哥的用户反馈群,老哥测试阶段便开始收费,有效期到9月20号,12块可以用6次(刚开始的时候是6块),居然还涨价了。看来必须得淦他一波了,居然违反我科大的校规校纪 !

破解几乎全程使用手机端MT 管理器完成!!!本文简略,并不适合完全小白食用;博主第一次反编译apk,手段简略,仅供参考。

严正声明:智慧河小科破解思路,仅供参考,不要实际使用,使用者与我方无任何关系,之间不存在任何交易,我平台也不提供任何破解应用与下载链接!

gan测试版本

老哥的程序是apk,全程未混淆未加壳,所以几乎没有啥难度可言了。

进入主页面,找点参考点,发现“激活码无效”字符串。

到mt里搜索“激活码无效”,发现在LoginActivity类里。

也可以打开activity捕捉(在mt管理器侧栏)找登录窗口的活动来实现这一步。也可以发现是在LoginActivity类里。

发现关键部分,包括激活码类的调用和测试激活码等等

去看看这个cdkUnit

激活码果然在这里,试试看,没啥问题,成功

测试版本的密匙老哥保存在本地,使用字符串。

gan正式版本

我以为老哥还会把激活码放在本地,找了一波未找到,我以为是老哥变成二进制库储存了,但是也没有找到,那么只可能是变成联网验证了。

不能全局搜索https,应该全局搜索字符串“http”,匹配更多结果,发现了两个线索

所以,fiddler抓包,干起来,发现的确是这个链接,分析请求参数和请求头啥的,发现没啥特殊请求。

花重金3.5元人民币买了一个只能用一次的激活码,然后用postman模拟请求

返回值竟然是plain text,返回了一个纯数字1(这里显示40002是因为这码已经被用了,再次请求报40002),老哥连返回json都没做

自己搭建一个,换掉老哥的服务器地址

测试如下(视频)

总结:老哥第一次开发这种应用,并不知道世间险恶。应用没有加壳,http请求没有用https,暴露了qq大号,业务逻辑有点问题。

各位在开发应用时一定要按照规范进行开发,通信要使用https协议,注意加密等。

本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可
标签: 瞎搞 项目实战
最后更新:2024年12月30日

jiawei

这个人很懒,什么都没留下

点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复
  • Emby
  • Synology
  • Unraid
  • 文段分享
  • 生产力小工具
  • 生活记录
  • 程序开发实例
  • 网络与系统
  • 逆向工程
  • 遇到问题

2019-2025

Theme Kratos Made By Seaton Jiang

冀ICP备18022758号-2

冀公网安备13072802000034号