一、写在前面
这是吾爱破解正己大大教程的第五个作业,然后我的系统还是ubuntu, 这个是剩下作业的完成步骤。
二、任务目标
现在我们已经解决了一些问题,现在剩下的问题有
[ol]
[/ol]
1.解决hash校验的问题
老样子,我们先查看hash校验的代码,看一下这个代码的逻辑
直接把java代码给粘贴过来
public final boolean check_Hash(Context context) {
String apkPath = getApkPath((Context) this);
FileInputStream fileInputStream = null;
try {
try {
MessageDigest messageDigest = MessageDigest.getInstance("SHA-1");
byte[] bArr = new byte[1024];
Ref.IntRef intRef = new Ref.IntRef();
FileInputStream fileInputStream2 = new FileInputStream(new File(apkPath));
while (true) {
try {
int read = fileInputStream2.read(bArr);
intRef.element = read;
if (read
2.解决root检验的问题
这个一共有三个检测方法,用了一个或操作,然后我就简要总结一下这个三个方法
[ol]
检查有没有test-keys
检查发布的系统版本是测试版(test-keys)还是发布版(release-keys),这个不一定,因为有的系统发布版就是test-keys,而且这个很少有人用
检查相应目录下有没有su文件或者有没有superuser.apk这种只有root手机才有的信息
这个方法经常使用,不过规避方法也很多
使用which命令来检测是否存在su
这个其实也挺简单的,如果用hook的话
[/ol]
实际上如果一个手机被root之后也是很难被发现的,因为如果root后就可以使用xposed或者frida这些工具进行hook,hook的功能是非常的强大的。
然后这个的解决方法也是很多,比如:
[ol]
[/ol]
3.关于smali学习的题目
20240216180810.png (49.37 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
这里smali学习部分的作业,我们的目标就是通过修改smali代码,使vip和会员到期时间通过,并且修改钻石数量。
三、实现方法
问题一的实现
通过对代码的分析我们可以了解到。首先会读取apk的路径,然后计算出hash值,然后使用这个hash值和之前的hash值进行比对,就可以得到最终的正确的hash值。
这个的解决方法就太多了,我们就随便选择一个方式解决掉。
[ol]
[/ol]
这些方法在上一篇博客中已经介绍过了,所以这里不再赘述了,直接使用第一个方法给他hook了
Java.perform(function () {
Java.use("com.zj.wuaipojie.ui.ChallengeFifth").check_Hash.implementation = function (j) {
var result = this.check_Hash(j);
send(result);
return true;
}
})
这样就可以很轻松的通过(frida真厉害!)
20240216231624.png (78.5 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
问题二的实现
关于root的实现我们先看一下java代码(注:这个地方smali2java插件是有问题的,所以这一串代码我是通过jd-gui逆向得到的)
public final boolean check_root() {
return (checkRootMethod1() || checkRootMethod2() || checkRootMethod3());
}
public final boolean checkRootMethod1() {
String str = Build.TAGS;
boolean bool2 = false;
boolean bool1 = bool2;
if (str != null) {
bool1 = bool2;
if (StringsKt.contains$default(str, "test-keys", false, 2, null))
bool1 = true;
}
return bool1;
}
public final boolean checkRootMethod2() {
for (byte b = 0; b
我们一共发现了三个检测的方法,这个在前面的分析已经讲过了,然后我们启动一下frida
20240219204805.png (41.6 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
之后我们写一个frida脚本然后运行一下hook,这个hook的主要目的就是把checkroot2里面的查找跟root有关文件的东西给屏蔽掉,就是如果一个手机是已经root了的,那么就会产生su等文件,我们就是通过frida hook避免这个程序发现这些文件,然后我之前以为camodroid比较全面可以完成这些东西,但是实际运行发现camodroid并不能完全屏蔽掉这些,所以我自己写了一个(在camodroid上改的)。
Java.perform(function () {
Java.use('java.io.File')['$init'].overload('java.lang.String').implementation = function (pathString) {
let map =
{
// Rootbeer
"/system/xbin/busybox": "/system/xbin/busybo",
"/system/bin/su": "/system/bin/s",
"/system/xbin/su": "/system/bin/s",
"/system/app/Superuser.apk":"1",
"/sbin/su":"1",
"/data/local/xbin/su":"1",
"/data/local/bin/su":"1",
"/system/sd/xbin/su":"1",
"/system/bin/failsafe/su":"1",
"/data/local/su":"1",
"/su/bin/su":"1",
};
var retval;
if (map[pathString] != null) {
retval = this.$init("/system/bin/suasaadfghdfgh");
}
else {
retval = this.$init(pathString);
}
return retval;
};
Java.use("com.zj.wuaipojie.ui.ChallengeFifth").checkRootMethod1.implementation = function () {
var result = this.checkRootMethod1();
send(result);
send("check1")
return result;
}
Java.use("com.zj.wuaipojie.ui.ChallengeFifth").checkRootMethod2.implementation = function () {
var result = this.checkRootMethod2();
send(result);
send("check2")
return result;
}
Java.use("com.zj.wuaipojie.ui.ChallengeFifth").checkRootMethod3.implementation = function () {
var result = this.checkRootMethod3();
send(result);
send("check3")
return result;
}
})
结果如下图片
20240219213744.png (13.67 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
然后有个问题就是check3方法,这个方法本来就有问题
20240219213907.png (43.46 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
就是正常情况下就不应该使用只使用/system/xbin/which去检测是否有su文件,这个算是吾爱作业软件的一个小bug吧
问题三的实现
这个界面在smalilearn里面,我们直接smali2java插件给转了,这个代码不长,所以就直接粘贴到这里了
public final class SmaliLearn extends AppCompatActivity {
private final int vip_coin;
public final int isVip() {
return 0;
}
public final long vipEndTime() {
return 1671889481513L;
}
public final int getVip_coin() {
return this.vip_coin;
}
protected void onCreate(Bundle bundle) {
super.onCreate(bundle);
setContentView(2131427364);
((Button) findViewById(2131230819)).setOnClickListener(new SmaliLearn$.ExternalSyntheticLambda0(this, (TextView) findViewById(2131231219), (TextView) findViewById(2131231221), (TextView) findViewById(2131231220)));
}
/* JADX INFO: Access modifiers changed from: private */
/* renamed from: onCreate$lambda-0 reason: not valid java name */
public static final void m1onCreate$lambda0(SmaliLearn smaliLearn, TextView textView, TextView textView2, TextView textView3, View view) {
int isVip = smaliLearn.isVip();
if (isVip == 0) {
textView.setText("非会员");
} else if (isVip == 1) {
textView.setText("会员");
} else if (isVip == 4) {
textView.setText("大会员");
} else if (isVip == 16) {
textView.setText("超级会员");
} else if (isVip == 99) {
textView.setText("至尊会员");
}
long time = new Date().getTime();
SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd");
if (smaliLearn.vipEndTime()
这个修改的部分有
原来的isVIp那个const/16 v0,0x63,就是把原来的v0修改成了99,关于smali这个东西,我是学过微机原理,对MIPS,X64等汇编语言有较多的使用经验,我建议如果你真的想学smali的话可以先去学学这些汇编,不然很难上手smali
20240219223057.png (15.29 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
这个是修改了时间,我就把第一位修改成了9
20240219223108.png (18.58 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
这个就是把调用返回值换成了直接进行赋值不调用
20240219223114.png (17.17 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
20240219223120.png (17.17 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
然后下面就是我们的运行结果,完结撒花!!!
20240219223650.png (367.44 KB, 下载次数: 0)
下载附件
2024-2-20 00:12 上传
