白嫖歪g的使我快乐

a1046830

！！！本帖仅限技术交流，若有违规，联系我删除

最近在研究一些游戏的外挂原理，但是要卡密登录。穷哥们怎么付得起款呢？这不得爆破一哈

歪G的界面大概就是这样，32位卡密登录。
把APK反编译一下，看到有壳，360的。脱个壳先（像android端的歪G基本都用的是免费的加固产品，商用的买不起，要不就是自己写的一些比较简单的混淆和抽取，所以很好脱壳）。
脱壳推荐：frida-dexdump
脱完壳的dex比较多，用 grep -ril "MainActivity" * 在dex的目录下筛选含有MainActivity的dex。
然后jadx打开下dex。

卡密登录的代码就在上图，打开它的验证地址w.eydata.net用的是易游的验证服务。
爆破思路比较简单，在易游上注册一个开发者账号，然后把393A8582B24F5754替换成自己在易游上的，https改成http(它的https还要收费)，然后自己创个程序开个免费的卡密，把自己的卡密验证参数格式和它的三个参数SingleCode/Ver/Mac顺序一致。
在登录界面输入自己创建的卡密，然后就是Hook  UrlHttpUtil.post方法就行了
参考脚本：

function hook_java() {
    Java.perform(function () {
    var loginclass=Java.use("com.chaozh.iReaderFree.post.UrlHttpUtil");
    loginclass.post.overload('java.lang.String', 'java.util.Map', 'com.chaozh.iReaderFree.post.CallBackUtil').implementation=function(str1,str2,str3){
       //console.log(str1);
       var url="http://w.eydata.net/你的调用码"
       this.post(url,str2,str3);

  }

    });
}

顺利打开

然后第二款：

这个APK没有加壳，不用脱直接jadx打开就行了
像android端歪G基本都是90相似，应该是一套源码卖给不同的人然后小改拿出来卖，而且保留的端游歪挂的中文特色。所以基本搜下“卡密”就能找到登录入口，不用费力去查代码找接口
像这种就是


字符串加密了，打开解密方法看了一下就是一个Base64，不过也不用管。只需要看它的sendPost方法就行了

用的是okhttp3。然后抓了下包，看到验证过程要发两个包，

不管是不是两个包都要用到，反正都改成我们自己的验证就行了。
参考代码：

function hook_decode(){
    Java.perform(function () {
        var request_class=Java.use("okhttp3.FormBody$Builder");
        request_class.add.implementation=function(str1,str2){
            //console.log(str1,str2);
            if(str1=="SingleCode"){
                var res=this.add("Ver","你创建的程序版本");
                return res;
            }
            if(str1=="Ver"){
                var res=this.add("SingleCode","你的卡密");
                return res;
            }
            if(str1=="UserName"){
                var res=this.add("Ver","2.2");
                return res;
            }
            if(str1=="UserPwd"){
                var res=this.add("SingleCode","你的卡密");
                return res;
            }
            if(str1=="Mac"){
                var res=this.add("Mac","你的手机mac");
                return res;
            }
            if(str1=="Type"){
                var res=this.add("","");
                return res;
            }
            var res=this.add(str1,str2);
            return res;
        }
        var decode_class=Java.use("com.dragon.Green.utils.Http");
        decode_class.sendPost.implementation=function(args1,args2,args3,args4){
            //console.log(args1,args2,args3,args4);
            var url="http://w.eydata.net/你的调用码";
            var res=this.sendPost(url,args2,args3,args4);
            //console.log(res);
            return res;
        }

    });
}

搞定

bjxiaoyao

这个App是干啥用的？我有个兄弟想了解一下

一大杯奶茶呀

a1046830 发表于 2022-3-31 15:02
是的，但是服务器不是自己搭的，所以可以把参数替换了，相当于从自己建的数据库里验证

这操作秀啊  把别人的服务器验证 改为自己服务器验证。。。。

你好QAQ

做什么用的？

mizk

小伙子很有前途

Delete丶幸福

很有前途哦~

夏驰

感谢分享

____________

有木有T3验证的，T3的hook山寨后还是提前卡密错误，抓包看了还是是自己的验证地址，估计还有别的验证

Nicles520

我就不明白 了

long8586

不错不错，学习了！

china002

膜拜大神！