具体见图如下:
image.png (12.21 KB, 下载次数: 0)
下载附件
2022-8-10 14:03 上传
没想到这个摸鱼工具还强行要求注册。想着就来搞一下。
方法一:
查壳发现是c#的,那难度低很多了啊。
image.png (3.75 KB, 下载次数: 0)
下载附件
2022-8-10 14:12 上传
都是简单英语。这个就是点击登录的按钮了。进去发现把直接修改了。保存。
发现还是登录不上去。
分析出,还有一个地方再次验证(是配合http debugger 分析出有再次请求,看过去发现类似的函数):
image.png (60.27 KB, 下载次数: 0)
下载附件
2022-8-10 14:14 上传
后续根据英文
什么checkupgrade(去掉检查更新)
checkoverdue(检查过期,修改了还是显示过期,但是功能能用我没深入研究了)。
--------
方法二:http debugger
image.png (26.36 KB, 下载次数: 0)
下载附件
2022-8-10 14:04 上传
随便输入了一个手机号,用HD拦截。
可以看到请求的就是用户名和加密的密码:
返回的内容:
{"status":108,"msg":"\u7528\u6237\u540d\u6216\u8005\u5bc6\u7801\u9519\u8bef"}
都是明文的
image.png (892 Bytes, 下载次数: 0)
下载附件
2022-8-10 14:06 上传
。
伪造:{"status":200,"data":"15600001234"} (见上方法一分析出的key值)
发现还是不行,又返回一条 autologin的。
image.png (69.09 KB, 下载次数: 0)
下载附件
2022-8-10 14:10 上传
继续伪造:{"status":200,"msg":"15600001234"},成功跳过。
使用《大奉打更人》测试,功能正常。
image.png (24.84 KB, 下载次数: 0)
下载附件
2022-8-10 14:11 上传
已成功登录。
----
歪打正着给跳过了,闲麻烦的就注册,分享(充钱)的话好像也能用。
这个是看小说的,最后也没找到哪个小说好看。。。
-----
上一个原软件的链接:
链接:https://pan.baidu.com/s/1d2qN1y-pPIc4y8Ff7pSPPA?pwd=52pj
提取码:52pj
解压密码:www.52pojie.cn
