起因#
這件事情並不是三言兩語就可以說完的,所以說我標題寫得特別長因為我實在不知道怎麼簡略的總結了
簡單的重新說明一下這件事情:我搞了一個遊戲的魔改作弊版並且免費發布在網絡上,但是有人卻剽竊了我的遊戲安裝包並且加上了一個輸入他的密碼才能玩這個遊戲的限制,並且他的這個密碼是要做什麼任務比如說轉發廣告二維碼到 3 個 500 人以上的群聊(挺典型的東西)才可能可以獲得,我當時看到這種東西挺惱的,BYD 我熬夜破解的東西他就那麼簡單的佔為己有了?
我便下載了一個他的安裝包去研究了一番:
好傢夥,一開遊戲就是這個界面,看來我下對了
遊戲版本號我塞的水印都沒有刪掉,不知道那人怎麼想的
開始研究,嘗試拆包#
先對比一下我原先的安裝包和被他改過的安裝包:
新增的文件:
==============================
classes2.dex
修改的文件:
==============================
AndroidManifest.xml
META-INF/ANDROID.RSA
META-INF/ANDROID.SF
META-INF/MANIFEST.MF
我還以為天機就在這 classes 裡面,趕忙去裡面搜索 “密碼” 這關鍵詞,結果是什麼都沒有找到
即便是翻過了所有被他修改的文件,我仍然是沒什麼頭緒,還沒有等我尋找到真正的答案晚自習就開始了
在晚自習發呆的時候,我突然想到:每次打開遊戲,裡面的圖片都需要重新加載一次,如果圖片在本地的話根本就不需要重新加載,圖片很有可能是用了什麼圖床
既然圖片都用網站來顯示了,會不會這個輸入密碼的界面他也是用將網站嵌入到 apk 裡面這種方法,所以說我在安裝包裡面並不能找到這個東西,因為他並不在安裝包內!
這下破案了,下一步就是找到這個網站了,我原先想用安卓應用的一個 bug(套盾:我才疏學淺,並不是很懂這個到底算不算安裝應用的 bug,這準確來說可能是 html 的 bug,如果有大佬看到這裡幫我在評論區指正一下謝謝啦):如果在運行的時候突然斷開網絡,那就會顯示 xxx(網頁的具體網址)無法連接,這樣子我就可以獲取到他的網址,從而扒出這個密碼了
可是當我斷網進入此應用的時候卻顯示:獲取數據失敗,看來他並不是靠這種方法就能獲取到的
嘗試抓包,發現密碼#
不知道帶伙有沒有聽說過一個東西叫做黃鳥抓包,幾年前就挺火的,實測挺好用的(雖然我在此之前都沒有用過),用 “黃鳥 “抓包出兩個網站,如下:
http://imgurl.xiaok1.com/imgs/2022/04/13/b36c1b16e3de9b6d.jpg
↑上文所述,用來顯示圖片的網站
http://acgzlm.xyz/acg/config.json
↑輸入密碼的本體部分
其中,在下面那個網站中發現了這樣一部分代碼
看樣子這個6952就是最終的密碼了,沒想到那麼簡單
後續雜談 | 我是分隔符~
我是沒想到這個遊戲的密碼獲取的居然那麼容易...... 高估了
本文章本來在九月二十七號就應該寫出來的,可惜我電腦當時壞掉了
他修改我遊戲是在九月二十五號,我在他修改出來的第二天就把密碼扒出來了,也算是打了他的臉
我的遊戲都是免費發布的,目前遊戲合集在https://huaji.xlog.app/youxi ,本人不會也不可能參加倒賣,如果你的遊戲是買來的,請你舉報那位賣家
拒絕倒賣,人人有責,倒狗必死