跳过一个摸鱼工具的登录界面。

阳光好青年

今天搬砖闲来无事，在论坛搜索摸鱼，发现个这么个玩意，极简·单行阅读器（我度娘搜出来home133的那个，不附链接了）。
具体见图如下：

没想到这个摸鱼工具还强行要求注册。想着就来搞一下。

方法一：
查壳发现是c#的，那难度低很多了啊。

都是简单英语。这个就是点击登录的按钮了。进去发现把直接修改了。保存。
发现还是登录不上去。
分析出，还有一个地方再次验证（是配合http debugger 分析出有再次请求，看过去发现类似的函数）：

后续根据英文
什么checkupgrade（去掉检查更新）
checkoverdue（检查过期，修改了还是显示过期，但是功能能用我没深入研究了）。

--------
方法二：http debugger

随便输入了一个手机号，用HD拦截。
可以看到请求的就是用户名和加密的密码：
返回的内容：
{"status":108,"msg":"\u7528\u6237\u540d\u6216\u8005\u5bc6\u7801\u9519\u8bef"}
都是明文的 。
伪造：{"status":200,"data":"15600001234"} （见上方法一分析出的key值）
发现还是不行，又返回一条 autologin的。

继续伪造：{"status":200,"msg":"15600001234"}，成功跳过。
使用《大奉打更人》测试，功能正常。

已成功登录。
----
歪打正着给跳过了，闲麻烦的就注册，分享（充钱）的话好像也能用。
这个是看小说的，最后也没找到哪个小说好看。。。
-----
上一个原软件的链接：

链接：https://pan.baidu.com/s/1d2qN1y-pPIc4y8Ff7pSPPA?pwd=52pj
提取码：52pj
解压密码:www.52pojie.cn

小小的石头13

偷偷看小说

阳光好青年

oxding 发表于 2022-8-10 14:57
伪造这块没看懂是怎么绕过的 可以详细讲解一下嘛

配合方法一代码分析出的，也可以注册一个看看真实返回的是什么样子。

[C#] 纯文本查看 复制代码

private void Login_Click(object sender, RoutedEventArgs e)

这个函数里面有一段：

[C#] 纯文本查看 复制代码

	ApiResult apiResult = Util.GetApiResult(url, 3);
	if (apiResult.Status != 200)
	{
		MessageBox.Show(apiResult.Msg);
		return;
	}
	if (apiResult.Data != null)
	{
		Bis.UID = apiResult.Data.ToString();
		this.IsLogin = true;
		base.Close();
		return;
	}

里面的GetApiResult跟进去：

[C#] 纯文本查看 复制代码

						apiResult.Status = (int)jtoken["status"];
						apiResult.Msg = ((jtoken["msg"] == null) ? "" : jtoken["msg"].ToString());
						apiResult.Data = jtoken["data"];

oxding

阳光好青年 发表于 2022-8-10 15:01
配合方法一代码分析出的，也可以注册一个看看真实返回的是什么样子。
[mw_shl_code=csharp,true]private ...

HD拦截  是全名称是 什么软件 可以说一下嘛

云烟成雨

这怎么个摸鱼法，没懂，只显示一行？

oxding

伪造这块没看懂是怎么绕过的 可以详细讲解一下嘛

不知道改成啥

单行有啥意思，看小说没一目十行有啥意思。

阳光好青年

云烟成雨 发表于 2022-8-10 14:53
这怎么个摸鱼法，没懂，只显示一行？

比较隐蔽的看小说呗。。具体我也没用这个工具。

canon75

这个是教我们摸鱼的