anhualong 发表于 2021-8-25 15:09

动物餐厅 iOS 数据修改

### 动物餐厅 iOS 数据修改
女朋友玩动物餐厅,但是太慢了,而且好多都要看广告所以想能不能破解修改数据,看了论坛上其他帖子
基本两种方式,一种通过修改内存中的数据,还一种就是抓包修改
因为我是iOS没越狱,所以只能使用抓包的方式修改
之前有相关教程,而且还提供了线上版,但是没有详细的使用说明
《动物餐厅》-----抓包修改教程-----完整代码超详细
https://www.52pojie.cn/thread-1115363-1-1.html
我用了,直接修改小鱼一千万,返回-1000,之后怎么修改都不行了,游戏中上传都失败,后来才知道被封了,幸亏这是我的账号,不然被女朋友乱棍打死。

看来这不能随便乱搞,只能自己一步一步来了
### 破解过程
1.看了下动物餐厅使用的是cocos2d,移动端和小程序代码逻辑是一样的,所以直接先逆向微信小程序,找出源码,这到处都有相关教程就不写了,逆向后如下。
!(https://ae05.alicdn.com/kf/H3676046980194df8865410fea1bbf96cG.png)
2.查看源码,主要代码都在`project.xx.js`文件中,首先看了下载文档`downloadRecord`方法,发现有签名验证,没有私钥就没法修改,所以只能通过`uploadRecord`修改了

3.接下来就是抓包了,我是用的是charles,抓包教程就不写了,自行百度,查看uploadRecord接口抓取到的数据,发现record中数据都有加密,接下来找加密方式

record数据
!(https://ae03.alicdn.com/kf/H3d8e54734319474f9ed09faccd3ca803d.png)

4.找到加密方式`getEncryptString`,其中globalKey就是openid,这有个坑,如果之前使游客登陆的则是orgOpenId,请求参数中有openid,但是机密编码后的在请求方法`request`中可找到`(t.openid = this.crypt.encrypt(t.openid, "base64")), `,所以我们需要的是登录后返回的openid,后来发现在record中有openid和orgOpenId,这样我们就不需要再去抓登录请求了
**注:上面帖子提到的openid我不知道他用的哪个,感觉应该是之前openid没有加密,现在和之前不一样了**

机密和解密方法
!(https://ae03.alicdn.com/kf/Hda612455b10a4646b4dd6bf8c92c85f9k.png)

5.上传参数中有`checkSign2`来验证record是否被修改,在`uploadRecordToServer`方法中找到生成方法
```
var i = r.MD5("32roiFEI" + e.record + n.openid).toString();
e.checkSign2 = i.charAt(8) + i.charAt(3) + i.charAt(21) + i.charAt(10) + i.charAt(16) + i.charAt(9) + i.charAt(11) + i.charAt(23),
```
这里的openid就是登录用户的openid

6.接下来就可以修改要上传的数据了,上面帖子是通过提供界面来修改数据的,但是很多都不更新了,而且我也并不想修改那么多,我只需要增加一些去广告券和钻石就可以了,不然游戏就没乐趣了
**注:我看现在参数比之前多了很多,像总鱼干总钻石数,之前应该没有,你如果要修改记得要都修改,不然后台校验数据异常被封号就只能找客服了,还有数据不要修改太大!!!!**

7.因为不知道后台有哪些校验,所以尽可能在原来提交的数据上进行修改来降低风险,所以我是通过charles的Map Remote把上传接口代{过}{滤}理到本地
!(https://ae03.alicdn.com/kf/Hf35331cd2ef14c3f84cb72ea3b8be244o.png)
!(https://ae02.alicdn.com/kf/H031dfd7135db410bb235a864c9a6d7c6S.png)

8.本地通过node起个`uploadRecord`接口服务,然后修改参数来提交,这里我直接每次提交增加520钻石。
!(https://ae02.alicdn.com/kf/H0c4309ea99f14b6d99668d37c8ca0d1c8.png)

9.数据上传完成,必须下载下来才能有,总不能重新安装,在源码中查找哪里调用下载记录,发现有两处
1、在上传前会先查询记录`checkRecord`通过返回的status来展示是下载还是上传等,以为上传功能我还得用所以放弃。
2、打开时调用`checkLogin`当status是1时会下载存档,我直接用本地代{过}{滤}理修改返回值,重新打开游戏就是修改后的数据了

保存checkLogin的返回结果到本地,并修改status为1
!(https://ae03.alicdn.com/kf/H0fd15c41c4854873b1df59e0f0bfeab2q.png)
代{过}{滤}理到本地
!(https://ae04.alicdn.com/kf/H88fcf3253ff0404d9676567919e2521fy.png)

### 代码
**我只能确保iOS程序可使用,小程序和安卓我都没试,不保证可以用,可自行调试**

会的可以自己建个项目,添加依赖,不会的如下
1.安装依赖
`npm install crypto request express -g`

2.新建index.js文件,代码如下
```
var request = require('request');
var express = require("express");

var app = express();
app.use(express.json({ extended: false }))

var baseUrl = 'https://ios-inland-restaurant.twomiles.cn:8060';
var openid = "";
var globalKey = "";

app.post('/uploadRecord', function (req, res) {
    let reqBody = req.body;
    // 格式化record 方便查看
    formatRecord(reqBody.record);

    // 修改数值,后台有校验,改的太大或不对可能会封号,小心修改
    changeData(reqBody);

    // 重新签名
    setCheckSign2(reqBody);

    //上传记录
    uploadRecord(reqBody, res);
});

var server = app.listen(8080, 'localhost', function () {
    var host = server.address().address
    var port = server.address().port
    console.log("应用实例,访问地址为 http://%s:%s", host, port)
})

// 修改数值
var changeData = function (reqBody) {
    var record = JSON.parse(reqBody.record);
    let openidJson = JSON.parse(record.openid);
    openid = openidJson.openid;
    if (openidJson.orgOpenId) {
      globalKey = openidJson.orgOpenId
    } else {
      globalKey = openid
    }
    console.error(openid, globalKey);

    // 免费跳广告
    let money_skipAdCard = decodeData(record.money_skipAdCard);
    record.money_skipAdCard = getEncryptString(money_skipAdCard + 200, "money_skipAdCard");

    // 钻石,之前应该是没总数,最好也修改后台可能有校验
    let addDiaNum = 520;
    let money_diamond = decodeData(record.money_diamond);
    let cumulative_money_diamond = decodeData(record.cumulative_money_diamond);
    record.money_diamond = getEncryptString(money_diamond + addDiaNum, "money_diamond");
    record.cumulative_money_diamond = getEncryptString(cumulative_money_diamond + addDiaNum, "cumulative_money_diamond");
    reqBody.dia = reqBody.dia + addDiaNum;

    reqBody.record = JSON.stringify(record);
}

var setCheckSign2 = function (reqBody) {
    var i = md5("32roiFEI" + reqBody.record + openid).toString();
    reqBody.checkSign2 = i.charAt(8) + i.charAt(3) + i.charAt(21) + i.charAt(10) + i.charAt(16) + i.charAt(9) + i.charAt(11) + i.charAt(23);
}

var uploadRecord = function (reqBody, res) {
    request({
      url: baseUrl + '/uploadRecord',
      method: "POST",
      json: true,
      headers: {
            'Accept-Encoding': 'gzip, deflate, br',
            "content-type": "application/json",
            'User-Agent': 'restaurant-mobile/1.2 CFNetwork/1197 Darwin/20.0.0'
      },
      body: (reqBody)
    }, function (error, response, body) {
      if (!error && response.statusCode == 200) {
            res.end(JSON.stringify(body));
      }
    });
}

var md5 = function (data) {
    var crypto = require('crypto');
    return crypto.createHash('md5').update(data, 'utf-8').digest('hex');
}

// 数据加密
var getEncryptString = function (e, t, i) {
    i || (i = 100 + Math.floor(900 * Math.random()));
    var n = e + 100 + i, a = md5(n + globalKey + t).toString();
    return "t" + (a.charAt(17) + a.charAt(3) + a.charAt(27) + a.charAt(11) + a.charAt(23)) + i + e;
}

// 解密数据
var decodeData = function (value) {
    if (!value || "string" != typeof value) return 0;
    let n = value.substring(9);
    return parseFloat(n);
}

// 格式化record
var formatRecord = function (record) {
    let recordFromat = record.replace(/:"t\w{8}/g, ':"');
    recordFromat = recordFromat.replace(/:"(\d{13})",/g, function (r, time) {
      return `:"${formatDate(time)}",`;
    });
    console.log(JSON.parse(recordFromat));
}

// 格式化时间戳
var formatDate = function (datetime) {
    console.error(datetime);
    var date = new Date(datetime * 1);
    var year = date.getFullYear(),
      month = ("0" + (date.getMonth() + 1)).slice(-2),
      sdate = ("0" + date.getDate()).slice(-2),
      hour = ("0" + date.getHours()).slice(-2),
      minute = ("0" + date.getMinutes()).slice(-2),
      second = ("0" + date.getSeconds()).slice(-2);
    var result = year + "-" + month + "-" + sdate + " " + hour + ":" + minute + ":" + second;
    return result;
}
```
formatRecord是格式化record的方便查看对照数据

3.node index.js运行

4.自行修改数据可修改 changeData方法,还有一些特殊的比如地上的数据`recordItemBag`也有自己的签名`checkSign`,要修改需要重新生成签名,这部分代码没找到,有需要的自行查找

anhualong 发表于 2021-8-27 13:00

又被封了个账号,钻石数据大于1万可能就有数据校验了,尽量修改后把钻石用掉在修改,而且要修改尽量先用别的账号测试后使用

8204118 发表于 2021-8-25 16:12

你这个单身狗弄错了吧

a38669543 发表于 2021-9-10 13:56

anhualong 发表于 2021-8-27 13:00
又被封了个账号,钻石数据大于1万可能就有数据校验了,尽量修改后把钻石用掉在修改,而且要修改尽量先用别 ...

大佬能不能出一期反汇编拿小程序源码教程啊。。。论坛没反编译拿源码教程啊!!!大佬你出一期反编译拿源码吧。。。

SHEDEAD 发表于 2021-8-25 16:09

技术帖,留名。看来女朋友才是技术的直接动力源泉啊:Dweeqw

52jcool 发表于 2021-8-25 16:31

正需要,谢谢分享

winson365 发表于 2021-8-25 16:41

诶呦,好东西谢谢楼主分享

行踪落落 发表于 2021-8-25 17:19

学习一下技术

edczsy 发表于 2021-8-25 17:33

感谢分享!!!

xiaozhuoyue666 发表于 2021-8-25 17:50

楼主太励志了,学习学习

正己 发表于 2021-8-25 17:55

没有越狱,不然其实更简单,igg调倍速,然后捡小鱼干,修改数量,最后post上去的就是修改后的数量

BiuBiu-Mua 发表于 2021-8-25 20:59

老大 能出个 THOR 抓包教程嘛~我不知道OPENID 在哪看
页: [1] 2 3 4 5
查看完整版本: 动物餐厅 iOS 数据修改


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn