起因#
这件事情并不是三言俩语就可以说完的,所以说我标题写的特别长因为我实在不知道怎么简略的总结了
简单的重新说明一下这件事情:我搞了一个游戏的魔改作弊版并且免费发布在网络上,但是有人却剽窃了我的游戏安装包并且加上了一个输入他的密码才能玩这个游戏的限制,并且他的这个密码是要做什么任务比如说转发广告二维码到 3 个 500 人以上的群聊(挺典型的东西)才可能可以获得,我当时看到这种东西挺恼的,BYD 我熬夜破解的东西他就那么简单的占为己有了?
我便下载了一个他的安装包去研究了一番:
好家伙,一开游戏就是这个界面,看来我下对了
游戏版本号我塞的水印都没有删掉,不知道那人怎么想的
开始研究,尝试拆包#
先对比一下我原先的安装包和被他改过的安装包:
新增的文件:
==============================
classes2.dex
修改的文件:
==============================
AndroidManifest.xml
META-INF/ANDROID.RSA
META-INF/ANDROID.SF
META-INF/MANIFEST.MF
我还以为天机就在这 classes 里面,赶忙去里面搜索 “密码” 这关键词,结果是什么都没有找到
即便是翻过了所有被他修改的文件,我仍然是没什么头绪,还没有等我寻找到真正的答案晚自习就开始了
在晚自习发呆的时候,我突然想到:每次打开游戏,里面的图片都需要重新加载一次,如果图片在本地的话根本就不需要重新加载,图片很有可能是用了什么图床
既然图片都用网站来显示了,会不会这个输入密码的界面他也是用将网站嵌入到 apk 里面这种方法,所以说我在安装包里面并不能找到这个东西,因为他并不在安装包内!
这下破案了,下一步就是找到这个网站了,我原先想用安卓应用的一个 bug(套盾:我才疏学浅,并不是很懂这个到底算不算安装应用的 bug,这准确来说可能是 html 的 bug,如果有大佬看到这里帮我在评论区指正一下谢谢啦):如果在运行的时候突然断开网络,那就会显示 xxx(网页的具体网址)无法链接,这样子我就可以获取到他的网址,从而扒出这个密码了
可是当我断网进入此应用的时候却显示:获取数据失败,看来他并不是靠这种方法就能获取到的
尝试抓包,发现密码#
不知道带伙有没有听说过一个东西叫做黄鸟抓包,几年前就挺火的,实测挺好用的(虽然我在此之前都没有用过),用 “黄鸟 “抓包出俩个网站,如下:
http://imgurl.xiaok1.com/imgs/2022/04/13/b36c1b16e3de9b6d.jpg
↑上文所述,用来显示图片的网站
http://acgzlm.xyz/acg/config.json
↑输入密码的本体部分
其中,在下面那个网站中发现了这样一部分代码
看样子这个6952就是最终的密码了,没想到那么简单
后续杂谈 | 我是分隔符~
我是没想到这个游戏的密码获取的居然那么容易...... 高估了
本文本来在九月二十七号就应该写出来的,可惜我电脑当时坏掉了
他修改我游戏是在九月二十五号,我在他修改出来的第二天就把密码扒出来了,也算是打了他的脸
我的游戏都是免费发布的,目前游戏合集在https://huaji.xlog.app/youxi ,本人不会也不可能参加倒卖,如果你的游戏是买来的,请你举报那位卖家
拒绝倒卖,人人有责,倒狗必死