某宙工具箱VIP逆向教程及发现漏洞

laoser · 发表于 2024-8-3 11:03

本帖最后由 laoser 于 2024-8-3 11:12 编辑

前言
声明：本文仅供学习交流使用，所涉及的APP不提供下载渠道。所涉及的技术请勿用于非法活动，否则所带来的一切后果自负。假如你看到这篇文章或者有作者的联系方式请及时联系作者进行漏洞处理。
事件起因
在B站刷到一个视频，破解思路是使用替换字符串的值达到破解VIP的目的，但是发现一个严重漏洞，如果你是该工具的功能提交者之一，请及时修改你的常用密码，该功能查询返回了功能提交者的隐私信息手机号和明文密码。
使用工具
● Jadx
● vscode
● MT管理器
● 雷电模拟器
破解教程

MT打开受害者对象

1722653533172.jpg (86.64 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传
选中dex

1722653533153.jpg (112.48 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传
打开dex++编辑

1722653533187.jpg (55.06 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传
全选dex

1722653533195.jpg (46.79 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传

转到搜索

[Java] 纯文本查看 复制代码

const-string v0, "\"isVip\":0"
const-string v2, "\"isVip\":1"
invoke-virtual {v1, v0, v2}, Ljava/lang/String;->replace(Ljava/lang/CharSequence;Ljava/lang/CharSequence;)Ljava/lang/String;
move-result-object v1

发起新搜索

1722653533218.jpg (24.44 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传
设置搜索条件开始搜索

1722653533222.jpg (51.4 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传
搜索结果

1722653533227.jpg (118.1 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传
进入smali

1722653533233.jpg (164.74 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传

需要添加以下代码

[Java] 纯文本查看 复制代码

const-string v0, "\"isVip\":0"
const-string v2, "\"isVip\":1"
invoke-virtual {v1, v0, v2}, Ljava/lang/String;->replace(Ljava/lang/CharSequence;Ljava/lang/CharSequence;)Ljava/lang/String;
move-result-object v1

smali添加代码

1722653514862.jpg (163.59 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传

替换源码代码分析

[Java] 纯文本查看 复制代码

public static void main(String[] args) {
//模拟服务器返回的json字符串
String json = "{\"code\":200,\"msg\":\"\u6210\u529f\",\"data\":{\"id\":10000,\"user\":\"123456@qq.com\"," +
"\"nick\":\"\u4e00\u53ea\u5c0f\u8001\u864e\",\"email\":null,\"phone\":null,\"create_time\":1720083587," +
"\"token\":\"2131uqgequgeu124141h414i14\",\"isVip\":0}}";
//替换后的json字符串
String result = json.replace("\"isVip\":0", "\"isVip\":1");
}

替换后的json

[JavaScript] 纯文本查看 复制代码

{
"code":200,
"msg":"成功",
"data":{
"id":10000,
"user":"123456@qq.com",
"nick":"一只小老虎",
"email":null,
"phone":null,
"create_time":1720083587,
"token":"2131uqgequgeu124141h414i14",
"isVip":1
}
}

保存代码

1722653579607.png (169.51 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传
保存退出，签名APK

1722653642983.jpg (27.82 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传
卸载原版安装登录

1722653693939.jpg (86.02 KB, 下载次数: 0)

下载附件

2024-8-3 10:55 上传

拓展

frida hook一下该方法

[JavaScript] 纯文本查看 复制代码

function main() {
Java.perform(function () {
let o00000OO = Java.use("okhttp3.o00000OO");
o00000OO["string"].implementation = function () {
console.log(o00000OO.string is called);
let result = this["string"]();
console.log(o00000OO.string result=${result});
return result;
};
});
}

setImmediate(main, 0);

发现一个很严重的漏洞，功能查询页调用了该方法

这些功能大多数是由用户提交上去的，但是返回信息里居然查询了用户的隐私信息，包括手机号和密码，而且密码还是明文，示例如下：

[Java] 纯文本查看 复制代码

{
"id":69789,
"uid":69789,
"url":"https://share.com/recv",
"title":"快传",
"description":"文件传输",
"create_time":1673863664,
"status":1,
"star":1,
"stars":",69789,66939,142262,2333,128915,93497,174103,176173",
"user":"123456@qq.com",
"nick":"凌凌漆007",
"pass":"123456789",
"email":"123456789@qq.com",
"phone":"13800138000",
"token":"123115536432242dasad1a7517",
"isVip":1,
"skillId":1737
}

tiantiancl · 发表于 2024-8-3 14:13

收集用户数据，缺德

mkdir · 发表于 2024-10-11 21:35

laoser 发表于 2024-10-8 22:17
修改支付余额服务器只验证订单

对，没验证金额，还有个4X播放器，估计是验证一个数组中指定的金额，他有个恢复购买是支付0.1元，VIP是其他的价格，然后是在软件内生成的订单，开通VIP也改为支付0.1元可以正常开通

0jiao0 · 发表于 2024-8-3 11:13

感谢分享，一直没注意到这个软件竟然还查个人信息密码

wxm7777777 · 发表于 2024-8-3 12:12

感谢分享

9yueying · 发表于 2024-8-3 12:31

这个会查个人信息密码就离谱，感谢大佬告知

yong2050 · 发表于 2024-8-3 12:41

我居然还在用它的这款软件，感谢大佬

cnct2021 · 发表于 2024-8-3 14:12

感谢分享，

shawn6516 · 发表于 2024-8-3 14:18

感谢分享！

ylb134377 · 发表于 2024-8-3 14:38

感谢分享
感谢分享
老铁

hxd97244 · 发表于 2024-8-3 15:33

每个软件都在收集，但这明文就说不过去了

帐号		自动登录	找回密码
密码			注册[Register]

[Android 原创] 某宙工具箱VIP逆向教程及发现漏洞

免费评分

本帖被以下淘专辑推荐: