上一帖写了闪电手机版(https://bbs.houdao.com/r14560076)，我还没来得及动态调试或者抓抓包来实锤闪电安卓版或者闪电PC版手机用户的cookie发送到了哪个域名、是不是作者的域名，闪电作者就闪电更新了，帖子也沉了，闪电作者666666！这次带来另一个，看了下是前几个月猴岛CF板块版主推荐的并置顶的软件(广告费、py交易有木有？)，所以发帖之前我已做好被封禁猴岛账号的心理准备。

用户登录后，会访问如下链接

描述:登录后返回cookie.png

以上演示的链接中包括qq号和其他参数、我已经修改过了，我才不会吧自己QQ放上去然后等着被报复呢。

参数key中包含用户cookie的证据放到本文后面，因为那是漫长的、索然无味的逆向，很多观众可能看不懂的，并且逆向的中间部分也就略过了，只写逆向的结果，而且这个结果是经得住检验的(你得赶在在小苹果作者更新软件或者关闭接口前去检验)。

我们把key的参数修改成任意字符、比如几个数字6(增删几个字符)甚至全部删除，访问后竟然和没改前一样！都能得到正确的邀请码结果！也就是说邀请码不用key这个参数就能访问得到！那为何还要访问时带上用户的cookie呢？这些cookie拿去干嘛了呢？后面几个参数是不是加密后的登录密码呢？

描述:key改任意字符都能正常返回.png

嗯，小苹果作者可能会说，加上key是以前的时候，为了获取用户的邀请码的，后来才有了通过QQ号就能得到邀请码的方法，但是软件没改过，所以软件在用户登录后会带着用户cookie访问这个接口，有了通过QQ号获取邀请码的方法后只改了网页和后台部分，所以这个接口不带cookie(也就是链接中的key)的结果也能显示邀请码。可是这款软件木有下单功能啊，哪个功能需要得到用户的邀请码了？嗯，小苹果作者可能会继续说，以前软件有下单功能的，通过访问这个接口就能一键复制邀请码，后来软件调整了功能，这个步骤没去除，类似。嗯，以前我没用过，不知道它有没有复制邀请码的功能，你们早期用过么？

另外这个接口的域名是不是小苹果软件作者的呢？我找了一下前面没登录之前加载的http包，同样域名的网页、打开后感觉应该是软件的活动数据包。

描述:接口是活动数据.png

也就是说这个接口是作者的。


不敢想了，我这抓包软件只能抓到http包，不排除作者还用websocket甚至udp的方式(是不是暗示给了作者未来更新改进的方向？)传输你想不到的东西的可能！当然再往下、我没有证据不能乱说，我也不敢想了，也没空去往深里去抓包和逆向了。


大家不赶紧试试，小苹果作者就升级版本、换加密方式了！就像闪电一样闪电更新后继续是条好汉！！！你们可以不相信我写的，实践是检验真理的唯一标准，前提是在作者更新版本、或者把接口关闭之前！小苹果作者更新版本或者关闭接口之后，那以上内容就过期了，以后有没有收集cookie，未来的事儿谁说得准呢。

下面写写更详细的，如果说链接里面没有用户cookie，那就不算实锤，所以通过载入od、脚本脱壳、修复、下断、单步。。。在经过对机器码的逐步逆向，得到了加密算法。



参数key的解密算法通过逆向找到了，为用户的uin、skey、p_skey，
参数parm6解密算法通过逆向找到了，为用户的所在大区代码(参考http://cf.qq.com/act/a20150508cfzdhd/cf_server_select.js)，
参数parm1、parm2、parm3、parm4、parm5未知，我木时间去登录多个账号去识别或者逆向去探索了这些剩下的参数了，大家感兴趣的可以摸索一下。我看软件在用户登录后还访问了qq会员与查询游戏登录时间的页面，猜测这些参数可能是收集cookie后入库时要给cookie分个类别来做其他用途时、标记分类用的。


都是同一种解密算法、算法文本代码如下，自己加个精易模块就能用了。





附上小苹果收集cookie文本解密的e源码文件和编译后的小苹果收集cookie文本解密程序，方便大家去自行检验


我没有传压缩包的权限，发个链接吧，解压缩即可使用。有管理看到后给我添加到附件可好。


，同款抓包软件可以试试这个。
https://down.52pojie.cn/Tools/Network_Analyzer/HTTP_Debugger_Professional_v9.9.rar

引用

补充内容(2020-06-04 06:15)
抓包软件解压密码：www.52pojie.cn

引用

补充内容(2020-06-04 07:05)
诺大一个猴岛，没个懂技术的来重现一下结果当个证明人么？等作者起床关闭接口或者更新软件可就没法重现了

引用

补充内容(2020-06-04 14:54)
你们都没有去试试的么？抓个包，把key的值，用我的算法解密看看，看看是不是有自己登录账号的uin、skey、p_skey

引用

补充内容(2020-06-07 12:45)
@若水三千@ 不可能是收集cookie做CF活动邀请，因为领取过程已经接受了CF活动邀请了，CF绝大部分的邀请不能重复被邀请的 ！肯定是别的用途！

引用

补充内容(2020-06-07 20:15)
作者在后面回复了，承认了收集了我们的cookie，但是强调收集我们的cookie进行了合理地使用。

从研发用到现在   都几年了 没出现过盗取盗号封号  一直用的蛮好

懂的人也不去验证，验证了也不说结果，这软件背景这么强大的么

懂的人也不去验证，验证了也不说结果，这软件背景这么强大的么

不明觉厉

不懂帮顶

那不至于呀，cookie改了密码就失效了

我思想没底线？你这是人身攻击了！是你的软件在没告知我们的情况下收集了我们cookie在先的!这是偷!然后我发现了这种行为，我发帖只说我实锤小苹果软件收集我们cookie，这你没反驳，说明小苹果软件确实是收集了我们cookie，别的软件跟小苹果软件有什么关系，你只是解释在获取到了我们cookie进行了合理的使用。我不用成千上百的号测试，就能知道小苹果软件偷偷获取了用户cookie。我在测试这几款软件之前确实不知道还能这样收集cookie，这个底线是这些软件作者给我突破的，就像我帖子里写的、后面的我都不敢想了
    然后我在你解释之前、在发帖的时候，由于小苹果软件偷偷收集了用户cookie，我进行了合理的怀疑，大概意思是、是不是后面还有别的什么，我没有测试；跟帖的回复的、我也没都表示认同。你这话术说的一道一道的，搞得吹哨人成了高级黑，把偷偷收集用户cookie的作者说成了受害者。
    你的意思是收集了用户的cookie用在了cf活动上，心悦猫咪或者卖卖邀请啥的？那我也可以理解的，只要在软件某个角落写一下就行了，免费软件这样干我是可以理解的，我们不知道的情况下、你这样干就是偷偷收集cookie，写上了就是光明正大的，我们用你的领取，你用我们的cookie，利益交换。
    建议你在下个版本除了在收集cookie时提示我们被收集了cookie，也在某个不起眼的角落加一个文字标识承诺不会吧cookie用于除了cf活动以外的地方。建议把传输方式和加密都升级一下，我个人是不敢用了，这次cookie被收集了，我也怕在未来升级了传输方式和加密方式后、我没时间没能力去解密和检查是不是被收集了cookie或密码等信息。

我还真没有用在关于CF活动以外的地方，你所说所想的那些，麻烦你使用成千上百的号去进行测试，看看有没有用于任何广告或者点赞一类的地方！很早就说过，我写的软件如果有发广告、点赞、盗CF点这些情况，出门被车撞。兄弟，我做人不会和你思想想的一样没有底线的！至于你说的知情权，我会在下个版本添加这个提示，感谢你的热情反馈~

1.心悦猫咪需要这么多号么？数以百计,千计,万计的cookie收集了做猫咪?而且还用邀请码的返回打个掩护来收集cookie做心悦猫咪用？
2.互点软件是指互相邀请软件？我还真有幸用过，也就是说没登录过互相邀请软件、但是登录过小苹果的cookie，会被拿来给登录了互相邀请软件的人做邀请？
3.信任是一回事，给不给我们说又是另一回事，完全可以收集了之后，提示已收集cookie用于心悦猫咪，这是知情权的事情。
4.利用ck盗号不现实，但是利用ck卖钱挺现实的。这个你除了心悦猫咪和互点没别的用处？你敢承诺我就敢信

我的账号刚改的密码第二天就被人登录QQ发了一堆诈骗信息在QQ空间

今天还是经过别人知道你这帖子，目前心悦猫咪一类的，肯定要用到ck的，一些互点也需要的。你可以去找找全网有心悦猫咪或者互点的软件，没号的都要靠这个方法，我这以前的互点软件，心悦猫咪就是TCP写的，不过不稳定，大家经常连接服务器失败，然后才写的这接口，才会有你这回事，有这功夫可以查查网吧管理端有没有什么毛病，看看你的技术能否有意外收获！

以前CF活动免费互点时写的接口，目前主要用于心悦猫咪，还有一些CF活动互点肯定要用到的，没想到被拿来说事，至于说的用于其他，实际也就是信任的问题，你不信任肯定说小苹果，做小苹果以来，从来没有盗过任何人游戏号和游戏点券等等，而且利用ck盗号不现实！真正长期用过的自然知道。

原来看到很多人在用，现在大家都沉默了，冷处理了

你用啥？下次我去锤锤看

之前用来点过kol码，后面不知道了 。

一般不用xpg...

再黑也会有人用，很正常

等我看看、用用、锤锤骑士

这都好？？