最近开始上外方课,真的听得云里雾里,听说我校请假小程序有老哥做了单机版,遂尝试淦他(貌似是妹子做的,但是下文还是称呼为老哥)一波。
我在测试阶段便潜入了老哥的用户反馈群,老哥测试阶段便开始收费,有效期到9月20号,12块可以用6次(刚开始的时候是6块),居然还涨价了。看来必须得淦他一波了,居然违反我科大的校规校纪 !
破解几乎全程使用手机端MT 管理器完成!!!本文简略,并不适合完全小白食用;博主第一次反编译apk,手段简略,仅供参考。
严正声明:智慧河小科破解思路,仅供参考,不要实际使用,使用者与我方无任何关系,之间不存在任何交易,我平台也不提供任何破解应用与下载链接!
gan测试版本
老哥的程序是apk,全程未混淆未加壳,所以几乎没有啥难度可言了。
进入主页面,找点参考点,发现“激活码无效”字符串。
到mt里搜索“激活码无效”,发现在LoginActivity类里。
也可以打开activity捕捉(在mt管理器侧栏)找登录窗口的活动来实现这一步。也可以发现是在LoginActivity类里。
发现关键部分,包括激活码类的调用和测试激活码等等
去看看这个cdkUnit
激活码果然在这里,试试看,没啥问题,成功
测试版本的密匙老哥保存在本地,使用字符串。
gan正式版本
我以为老哥还会把激活码放在本地,找了一波未找到,我以为是老哥变成二进制库储存了,但是也没有找到,那么只可能是变成联网验证了。
不能全局搜索https,应该全局搜索字符串“http”,匹配更多结果,发现了两个线索
所以,fiddler抓包,干起来,发现的确是这个链接,分析请求参数和请求头啥的,发现没啥特殊请求。
花重金3.5元人民币买了一个只能用一次的激活码,然后用postman模拟请求
返回值竟然是plain text,返回了一个纯数字1(这里显示40002是因为这码已经被用了,再次请求报40002),老哥连返回json都没做
自己搭建一个,换掉老哥的服务器地址
测试如下(视频)
总结:老哥第一次开发这种应用,并不知道世间险恶。应用没有加壳,http请求没有用https,暴露了qq大号,业务逻辑有点问题。
各位在开发应用时一定要按照规范进行开发,通信要使用https协议,注意加密等。
文章评论