。

但是它酷似引流文章#xff0c;全文一张图#xff0c;呜呜呜。

无法白嫖。

太可恶了#xff0c;因此#xff0c;我来啦~

首发地址:http://zhuoyue360.com/crack/104.html

一、引言

今日看到有人分享了i茅台自动申购的文章。

但是它酷似引流文章全文一张图呜呜呜。

无法白嫖。

太可恶了因此我来啦~

我来整一整我也要抢茅子

当我们点击登录以后应用提示未检测到网络信号。

它一定是有抓包检测的。

作为资深的脚本小子我们再次借用大佬们做好的工具JustMePlus提示验证码过期,我们也抓到了包数据。

看一下提交的数据。

有几个不知道含义的字段MT-V、MT-Device-ID、MT-Request-ID、MT-R、MT-SN和BS-DVID参数。

找到了未知的参数我们的目标也就明确了。

POST

clips_Kxx/RnJBdEYlFyZEJRx6QycQI0V2FydBcxd0FXZH

MT-APP-Version:

3b2b66c3-747d-4ce7-ba28-a3066594247e

MT-Network-Type:

clips_OlU6TmFRag5rCXwbNAQ/Tz1SKlN8THcecBp/HGhHdw

MT-Bundle-ID:

clips_ehwpSC0fLBggRnJAdxYgFiAYLxl9Si5PfEl/TC0afkw

MT-DTIME:

tDkAoOWWVDbDFNobZRf1eMcF364bZwAjmM87iuSKpikmnWOBRbaGo1ZQOYt0lu5NQDNwm1S-hrcW4Falp_9YIdg

MT-DOUBLE:

gzip{vCode:111111,mobile:13544711111,ydToken:,ydLogId:}(三)

看到libbaiduprotect.so文件它使用了百度加固。

接下来脚本小子继续上我使用的是FunDex

(四)

qm.b.e(System.currentTimeMillis())),

wf.a.c(),

);一、qm.b.e(System.currentTimeMillis())

它其实就等于

Long(System.currentTimeMillis())

public

这里我把关键的函数给提取出来先从部分一开始分析。

因为它已经涉及到SO了。

脚本小子继续上这里使用yang神的HookRegisterNative的脚本。

部分一

EnumMap(MMKVRecoverStrategic.class);recoverIndex

enumMap;enumMap.put((EnumMapMMKVRecoverStrategic,

Integer)

MMKVRecoverStrategic.OnErrorDiscard,

0);recoverIndex.put((EnumMapMMKVRecoverStrategic,

Integer)

MMKVRecoverStrategic.OnErrorRecover,

1);System.loadLibrary(c_shared);System.loadLibrary(mmkv);rootDir

null;mCreators

jk.a.e(PushConstants.DEVICE_ID,

null);

a;}}开始Hook看看函数的注册地址再去用IDA分析必须要偷懒~

frida

.\hook_registerNative.js很遗憾但是又是在意料之中的事应用存在Frida检测。

看着日志信息该反调试应该是由百度加固提供的.所以去看看它的so

[RegisterNatives]

(Landroid/content/Context;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;I)V

fnPtr:

google/sailfish/sailfish:10/QP1A.190711.020/5800535:user/release-keys

Revision:

/apex/com.android.runtime/lib64/bionic/libc.so!libc.so

(offset

5812256023147338b8a9538321d4c456)#02

00000000000e1ea8

/apex/com.android.runtime/lib64/bionic/libc.so!libc.so

(offset

5812256023147338b8a9538321d4c456)#03

0000000000000008

我们还咋分析这回没法借助脚本了。

问了个好朋友好朋友喊我DumpSo我使用了FunELF工具这效果也是嗷嗷好

还记得以前在霜哥课程里面学的frida反调试把检测线程直接干掉这个也嗷嗷好用。

在这里反调试我选择了霜哥的方法。

frida

NativeFunction(pthread_create_addr,

int,

pointer]);Interceptor.replace(pthread_create_addr,

new

Process.findModuleByAddress(parg2).name;var

so_base

Module.getBaseAddress(so_name);var

offset

((so_name.indexOf(libmsaoaidsec.so)

-1))

((so_name.indexOf(libbaiduprotect.so)

-1))

}setImmediate(replace_thread)于是乎我们就把i茅台的反调试给过掉了虽然不知道怎么检测了啥。

脚本小子不需要知道那么多

继续RUN,RUN,RUN

strd127e6d9172a92a949532d2b6edd8b4e

b.a

resultclips_LB0vGH1LLxYnECJDekgpECQdKBspTX8dK04qTnYUIEU再把堆栈打出来发现d127e6d9172a92a949532d2b6edd8b4e是来自于wf.a.c(),这个方法在MT-V、MT-K中也用到了。

这里就不多说了.

public

jk.a.e(PushConstants.DEVICE_ID,

null);

hashlib.md5()message_digest.update(str.encode(deviceId))digest

message_digest.digest()string_buffer

for

ord(char)ret.append(chr(i10))ret

.join(ret)return

base64.b64encode(ret.encode()).decode()if

__name__

md5(d38d477f-9804-4667-822f-750d15e10915)mt_device_id

getMTDeviceId(deviceidMd5)print(mt_device_id)在发送验证码的时候有一个参数md5。

这个就比较简单了。

str

j10.l(2af72f100c356273d46284f6fd1dfc08

str

currentTimeMillis);然后其他就没什么难得东西了。

{code:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJtdCIsImV4cCI6MTY5MzAzNzU4MSwidXNlcklkIjoxMTI3MTQyNTU3LCJkZXZpY2VJZCI6ImNsaXBzX0xCb2pFSE5ISlJZaUczNVBmVVVrRVNaRkp4RW5GbmRESWhCeEZDWVMiLCJpYXQiOjE2OTA0NDU1ODF9.V_hJSKm3D6I56-6u9TkON4ZzFK6vkzey4wo9miSOAb4,

userTag:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJtdCIsImV4cCI6MTY5MzAzNzU4MSwidXNlcklkIjoxMTI3MTQyNTU3LCJkZXZpY2VJZCI6ImNsaXBzX0xCb2pFSE5ISlJZaUczNVBmVVVrRVNaRkp4RW5GbmRESWhCeEZDWVMiLCJpYXQiOjE2OTA0NDU1ODF9.fRFdAM_cVjsTSRtLIP5tl9zHLxs_-sW2L_9wJkHeZQQ}}(五)

登录代码

hashlib.md5()message_digest.update(str.encode(deviceId))digest

message_digest.digest()string_buffer

for

ord(char)ret.append(chr(i10))ret

.join(ret)return

base64.b64encode(ret.encode()).decode()def

sendCode(phone,mt_device_id):timestamp

str(int(time.time()

https://app.moutai519.com.cn/xhr/front/user/register/vcodemd5_str

2af72f100c356273d46284f6fd1dfc08

phone

hashlib.md5(md5_str.encode()).hexdigest()data

{md5:md5_str,mobile:phone,timestamp:timestamp}headers

{MT-Token:

android;29;google;sailfish,MT-Device-ID:

1.4.5,MT-Request-ID:

str(uuid.uuid4()),MT-Network-Type:

WIFI,MT-Bundle-ID:

login(phone,code,mt_device_id):url

https://app.moutai519.com.cn/xhr/front/user/register/logindata

{vCode:code,mobile:phone,ydToken:,ydLogId:}headers

{MT-Token:

android;29;google;sailfish,MT-Device-ID:

1.4.5,MT-Request-ID:

str(uuid.uuid4()),MT-Network-Type:

WIFI,MT-Bundle-ID:

getMTDeviceId(deviceidMd5)print(mt_device_id)phone

135********data

sendCode(phone,mt_device_id)print(data)if

data[code]

***.eyJpc3MiOiJtdCIsImV**.*-*}}(六)

申购分析(actParam)

oUxr9vtC5s6wgqbkfHZkFAudqiTYalbyD2cl2/oYIq44OE879P2dJcuXYNHvwht79rANbLKxdxL\n3hg7WmB2upL/xILVsuZ5TMg1A3Lma5dcdficheXbgZc2QmuIs0kJcVaseBdhtrvFiMrfEHCO0g\n

}此处应该上RPC.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJtdCIsImV4cCI6MTY5MzAzNzcyNCwidXNlcklkIjoxMTI3MTQyNTU3LCJkZXZpY2VJZCI6ImNsaXBzX0xCc3RUSGdlZTBvdlRpeE5LUjBzVFM4YUtSOTdHSDVKY0VRaVFIRkMiLCJpYXQiOjE2OTA0NDU3MjR9.NvaXbgWMOUEqtkyq15zDP8SQqKaGnQxUgoYMdl_aQkk

User-Agent:

clips_LBstTHgee0ovTixNKR0sTS8aKR97GH5JcEQiQHFC

MT-APP-Version:

e24eb535-daa3-45fd-a7f4-9f5e833d559d

MT-Network-Type:

clips_OlU6TmFRag5rCXwbNAQ/Tz1SKlN8THcecBp/HGhHdw

MT-Bundle-ID:

clips_ehwpSC0fLBggRnJAdxYgFiAYLxl9Si5PfEl/TC0afkw

MT-DTIME:

hWr62Q591-OLfaOq1ge1xkVW4OZfwq8jzbHpK2tx-B0Mhg0ZB8SVmhl0MzjFvXjHo7cnRUKQz5p9ChG1rFMxykw

MT-DOUBLE:

gzip{cardType:0,idCardName:ddd,idCardNo:440582199811054333}

curl

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJtdCIsImV4cCI6MTY5MzAzNzcyNCwidXNlcklkIjoxMTI3MTQyNTU3LCJkZXZpY2VJZCI6ImNsaXBzX0xCc3RUSGdlZTBvdlRpeE5LUjBzVFM4YUtSOTdHSDVKY0VRaVFIRkMiLCJpYXQiOjE2OTA0NDU3MjR9.NvaXbgWMOUEqtkyq15zDP8SQqKaGnQxUgoYMdl_aQkk

User-Agent:

clips_LBstTHgee0ovTixNKR0sTS8aKR97GH5JcEQiQHFC

MT-APP-Version:

e24eb535-daa3-45fd-a7f4-9f5e833d559d

MT-Network-Type:

clips_OlU6TmFRag5rCXwbNAQ/Tz1SKlN8THcecBp/HGhHdw

MT-Bundle-ID:

clips_ehwpSC0fLBggRnJAdxYgFiAYLxl9Si5PfEl/TC0afkw

MT-DTIME:

hWr62Q591-OLfaOq1ge1xkVW4OZfwq8jzbHpK2tx-B0Mhg0ZB8SVmhl0MzjFvXjHo7cnRUKQz5p9ChG1rFMxykw

MT-DOUBLE:

{\cardType\:0,\idCardName\:\ddd\,\idCardNo\:\440582199811054333\}

--compressed

https://app.moutai519.com.cn/xhr/front/user/realNameAuth