过年的时候,因为懒狗,只做了吾爱破解的签到题。现在想起来了,准备捡起来看看。
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
下载地址
https://www.52pojie.cn/forum.php?mod=viewthread&tid=2002909
初级题
收集安装apk,打开应用,就是华为的 logo,但动不了
jadx 打开,查看MainActivity
看着似乎隐藏了什么,frida hook 将其改为true
androidx.viewpager2.widget.ViewPager2.setUserInputEnabled(true)
frida hook 永远设为true
functionmain() {
Java.perform(function () {
// 获取 ViewPager2 类的引用
varViewPager2 = Java.use('androidx.viewpager2.widget.ViewPager2');
// 重写 setUserInputEnabled 方法
ViewPager2.setUserInputEnabled.implementation = function (enabled) {
// 强制将参数设置为 true
enabled = true;
// 调用原方法
this.setUserInputEnabled.overload('boolean').call(this, enabled);
console.log('ViewPager2 setUserInputEnabled is always set to true');
};
});
}嘿,您猜怎么着,可以看到华为三折叠了。
你沿着边滑动,图片还能旋转,这就是三折叠吗?
很显然,MainActivity和flag没关系,在com.zj.wuaipojie2025下面翻看,碰碰运气,发现一个看上去是加密的地方
按 x 查看哪些类调用了 db()
加密的字符串,看着像flag,主动调用这个方法,看看解密出来是什么?
不用动脑子,问问无敌的deepseek
提问:frida 创建一个新对象主动调用代码 com.zj.wuaipojie2025.TO$Companion
跑出来的可以直接用,大脑变得更平滑了。
functiondecode() {
Java.perform(function () {
// 获取 TO$Companion 类
var TOCompanion = Java.use('com.zj.wuaipojie2025.TO$Companion');
// 获取 TO$Companion 的实例
var companionInstance = TOCompanion.$new();
// 调用 createInstance 方法
var toInstance = companionInstance.db("hjyaQ8jNSdp+mZic7Kdtyw==");
// 打印 TO 实例
console.log("TO db created: " + toInstance);
});
}
emmm。
俗话所,三步之内必有解药。
它的附近还存在别的加密字符串,放进去
看样子是一部分的flag,搜索看看有没有其他 spu.s(
把字符串放进去
成功了。
不过这个切割感觉有点问题,如果先拿到后半部分,也能直接猜前面的是 flag{
先做到这里,后面的题,有时间继续更新~
原文始发于微信公众号(进击的HACK):吾爱破解2025红包android题初级题
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论