白嫖歪g的使我快乐

查看 118|回复 10
作者:a1046830   
!!!本帖仅限技术交流,若有违规,联系我删除
最近在研究一些游戏的外挂原理,但是要卡密登录。穷哥们怎么付得起款呢?这不得爆破一哈



1.png (244.98 KB, 下载次数: 0)
下载附件
2022-3-31 11:03 上传

歪G的界面大概就是这样,32位卡密登录。
把APK反编译一下,看到有壳,360的。脱个壳先(像android端的歪G基本都用的是免费的加固产品,商用的买不起,要不就是自己写的一些比较简单的混淆和抽取,所以很好脱壳)。
脱壳推荐:frida-dexdump
脱完壳的dex比较多,用 grep -ril "MainActivity" * 在dex的目录下筛选含有MainActivity的dex。
然后jadx打开下dex。


2.png (84.5 KB, 下载次数: 0)
下载附件
2022-3-31 11:14 上传

卡密登录的代码就在上图,打开它的验证地址w.eydata.net用的是易游的验证服务。
爆破思路比较简单,在易游上注册一个开发者账号,然后把393A8582B24F5754替换成自己在易游上的,https改成http(它的https还要收费),然后自己创个程序开个免费的卡密,把自己的卡密验证参数格式和它的三个参数SingleCode/Ver/Mac顺序一致。
在登录界面输入自己创建的卡密,然后就是Hook  UrlHttpUtil.post方法就行了
参考脚本:
function hook_java() {
    Java.perform(function () {
    var loginclass=Java.use("com.chaozh.iReaderFree.post.UrlHttpUtil");
    loginclass.post.overload('java.lang.String', 'java.util.Map', 'com.chaozh.iReaderFree.post.CallBackUtil').implementation=function(str1,str2,str3){
       //console.log(str1);
       var url="http://w.eydata.net/你的调用码"
       this.post(url,str2,str3);
  }
    });
}


3.png (137.08 KB, 下载次数: 0)
下载附件
2022-3-31 11:27 上传

顺利打开
然后第二款:


4.png (18.71 KB, 下载次数: 0)
下载附件
2022-3-31 11:28 上传

这个APK没有加壳,不用脱直接jadx打开就行了
像android端歪G基本都是90相似,应该是一套源码卖给不同的人然后小改拿出来卖,而且保留的端游歪挂的中文特色。所以基本搜下“卡密”就能找到登录入口,不用费力去查代码找接口
像这种就是


5.png (55.46 KB, 下载次数: 0)
下载附件
2022-3-31 11:36 上传

字符串加密了,打开解密方法看了一下就是一个Base64,不过也不用管。只需要看它的sendPost方法就行了


6.png (61.95 KB, 下载次数: 0)
下载附件
2022-3-31 11:38 上传

用的是okhttp3。然后抓了下包,看到验证过程要发两个包,


7.png (11.76 KB, 下载次数: 0)
下载附件
2022-3-31 11:40 上传



8.png (17.53 KB, 下载次数: 0)
下载附件
2022-3-31 11:40 上传

不管是不是两个包都要用到,反正都改成我们自己的验证就行了。
参考代码:
function hook_decode(){
    Java.perform(function () {
        var request_class=Java.use("okhttp3.FormBody$Builder");
        request_class.add.implementation=function(str1,str2){
            //console.log(str1,str2);
            if(str1=="SingleCode"){
                var res=this.add("Ver","你创建的程序版本");
                return res;
            }
            if(str1=="Ver"){
                var res=this.add("SingleCode","你的卡密");
                return res;
            }
            if(str1=="UserName"){
                var res=this.add("Ver","2.2");
                return res;
            }
            if(str1=="UserPwd"){
                var res=this.add("SingleCode","你的卡密");
                return res;
            }
            if(str1=="Mac"){
                var res=this.add("Mac","你的手机mac");
                return res;
            }
            if(str1=="Type"){
                var res=this.add("","");
                return res;
            }
            var res=this.add(str1,str2);
            return res;
        }
        var decode_class=Java.use("com.dragon.Green.utils.Http");
        decode_class.sendPost.implementation=function(args1,args2,args3,args4){
            //console.log(args1,args2,args3,args4);
            var url="http://w.eydata.net/你的调用码";
            var res=this.sendPost(url,args2,args3,args4);
            //console.log(res);
            return res;
        }
    });
}
搞定


9.png (23.83 KB, 下载次数: 0)
下载附件
2022-3-31 11:45 上传

下载次数, 下载附件

bjxiaoyao   

这个App是干啥用的?我有个兄弟想了解一下
一大杯奶茶呀   


a1046830 发表于 2022-3-31 15:02
是的,但是服务器不是自己搭的,所以可以把参数替换了,相当于从自己建的数据库里验证

这操作秀啊  把别人的服务器验证 改为自己服务器验证。。。。
你好QAQ   

做什么用的?
mizk   

小伙子很有前途
Delete丶幸福   

很有前途哦~
夏驰   

感谢分享
____________   

有木有T3验证的,T3的hook山寨后还是提前卡密错误,抓包看了还是是自己的验证地址,估计还有别的验证
Nicles520   

我就不明白 了
long8586   

不错不错,学习了!
您需要登录后才可以回帖 登录 | 立即注册

返回顶部