实锤小苹果手机版3.2偷取用户cookie!别慌、作者说只用作CF活动用途!

社区服务
高级搜索
猴岛论坛CF穿越火线实锤小苹果手机版3.2偷取用户cookie!别慌、作者说只用作CF活动用途!
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
51个回复

[综合讨论]实锤小苹果手机版3.2偷取用户cookie!别慌、作者说只用作CF活动用途!

楼层直达
薄荷味回忆

ZxID:87959075

等级: 上士
举报 图酷模式  只看楼主 使用道具 楼主   发表于: 2020-06-10 0
    上次锤了小苹果电脑版之后,作者跟帖回复了(https://bbs.houdao.com/r14574925_4/#td_173060758),大意是收集来的cookie只用作cf活动用途,也就是承认偷取用户cookie了。而且作者还说我思想想的无底线!?我怎么感觉这个"无底线"更适合软件作者呢!?有些人,不仅思想无底线,而且做法也无底线。我就不说、我信不信作者说的 、只用作CF活动用途了,因为没法验证;偷取用户cookie、我们可以实锤并被验证,但是拿到了cookie后去做了啥,我们无法去验证和知道的,只有一个人能知道
    这次本来是要发另一款软件的,可是我抓了10次包,都没发现有啥异常的,为了避免给它做广告、就不说软件名字了。正当我以为没的写 的时候,发现了小苹果手机版,重点是这界面竟然 跟我之前锤过的闪电活动助手手机版(https://bbs.houdao.com/r14560076) 界面几乎一模一样!!!这是诱使我再继续研究研究它呀!!!就像已知A有后门,B与A外观长的一模一样,那么B到底有没有后门呢?
    上次有人私信说让我把逆向分析过程也写出来,这猴岛也不是个技术交流论坛呀,你是想让作者学习下逆向过程、下次把获取cookie写得更难被发现!?这次简单写一下过程吧。首先动态调试、能知道个大概,也就是在电脑的安卓模拟器上直接运行,抓包看看有没有异常。Wireshark开启捕获,安卓模拟器上网页登录qq,然后Wireshark停止捕获,再Wireshark上输入http,先来看看http的包

    qq=xxxxx&key=xxxx,这么眼熟,这很像小苹果电脑版(https://bbs.houdao.com/r14574925)偷取用户cookie的参数格式,连域名(bangbanghuodong.com)都是同一个!由于key的值加密了,我们不知道是不是我们QQ的cookie,只知道qq这个参数没加密,是我测试登录的qq号。就抓了1次包、而且仅仅是最基础的http包、就发现可疑问题了!?这。。也好,省时间了,马上进行下一步。
    其次,静态调试,几乎能获取一切。打开JEB(运行jeb_wincon.bat就能打开),拖入小苹果活动助手V3.2.apk ,双击classes.dex,依次展开com,appcfxpg,双击主窗口(下面图片左下角 classes.dex/层级 那边显示的那个主窗口),搜索(快捷键是Ctrl+F)bangbanghuodong.com,略过不相关的信息,结果显示搜到了http://yz2.bangbanghuodong.com/app/app.txt,





打开看了下,这个yaoqing.bangbanghuodong.com 很眼熟,就是上次小苹果电脑版偷取用户cookie的二级域名,于是搜索yaoqing.bangbanghuodong.com,找不到结果。然后再双击主窗口,搜索 网址中等于这个二级域名的 文本 服务端IP,找到了,


这里你需要懂一点smali语法,总之大意就是把这个yaoqing.bangbanghuodong.com赋值给公用模块的变量 接口网址,于是双击主窗口,搜索 接口网址,大概是搜了三次,就出现了这个 很可疑的地方,接口网址所在方法的名字为"发送信息给服务端",这跟以前闪电(https://bbs.houdao.com/r14560076)偷取用户cookie所用的上传方法是同一个名字!



于是双击主窗口,搜索 发送信息给服务端,搜到的第一个就很可疑。



这里应该就是上传用户cookie的代码部分。嗯,前面已经抓包抓到了很可疑的http包了,现在就是要逆向找到的  文本加密 这个方法,然后再去解密、看看是不是解密后存在我们QQ的cookie了。


双击主窗口,搜索 文本加密,第一个结果与加密算法不相关,但是 竟然在小苹果活动助手里面搜到了闪电助手的文字!!!这说明这两个软件有点相关呀!(外观类似可能是高仿的界面,但是代码里面都有..那...)


第二个结果就是 文本加密的算法了,比较长,截图只能截取一部分,有了这、你在懂点smali语法,就能逆向解密算法的代码了。这个其实根本不费功夫,因为我看了后发现,这就是小苹果电脑版1.42版本偷取用户cookie时用到的加密算法(https://bbs.houdao.com/r14574925),key参数加密的逆向解密算法上次已经写过了,拿来用就行了。


运行解密算法,果然得到了我们QQ的cookie的uin和skey!至此,实锤小苹果安卓CF活动助手3.2偷取用户cookie!手机版比电脑版少了个参数,1.42电脑版还有p_skey呢!另外把小苹果偷取cookie文本解密的源码和可执行程序附上,方便大家验证!大家不赶紧试试,小苹果作者就更新软件、更新加密算法和传输方式了!

    由于前几天发了小苹果电脑版1.42偷取用户cookie了的帖子了(https://bbs.houdao.com/r14574925),为了客观,标题也写了电脑版帖子中、作者的解释是"只用作CF活动用途",但是也写了是"作者说"的,只有作者知道干了啥。并且手机版,我也没深度挖掘(在登录抓了1次包后发现可疑的包后就停止了!没抓后面的领取完和关闭后等等,也没研究非http数据包),并不知道还有没有什么密码或者其他信息被记录的,感兴趣的你们自己研究,谁知道有没有那种再软件关闭或者退出时触发、利用udp或者websocket或者自己写的协议加密并传输 密码或者其他信息的后门呢。我这是思想无底线?我感觉我这是基于发生了偷取cookie行为后的合理怀疑呀,但是的确我没发现那些更糟的(但不能保证没有、因为没深入搞),因为我发现了个最明显的偷取用户cookie后,就来发帖了,后面的留给感兴趣的大家去挖掘吧。上次帖子里还写让管理把附件加到帖子里防止链接的附件失效,这仨管理一个也没搞,我怀疑他们也相关!这是不是合理怀疑?


文中所用软件下载:
Wireshark:https://www.wireshark.org/download.html
JEB:https://down.52pojie.cn/Tools/Android_Tools/JEB_3.0.0.201808031948_Pro.zip
小苹果活动助手V3.2 :https://www.filecad.com/egZ2/小苹果安卓CF活动助手3.2.apk
小苹果偷取cookie文本解密的e源码和可执行程序:https://www.filecad.com/it8e/小苹果收集cookie文本解密的e源码文件.rar



引用
补充内容(2020-06-10 23:39)
他急了、他急了、作者来长篇大论其实就一句话概括:收集cookie只用作CF活动。我标题已经给他概括了。
[ 此帖被薄荷味回忆在2020-06-10 19:13重新编辑 ]
本帖de评分: 10 条评分 DB +83
DB+10 2020-06-11

为众人抱薪者,不可使其冻毙于风雪

DB+10 2020-06-11

我很赞同

DB+1 2020-06-10

21楼已回。

DB+10 2020-06-10

赞成

DB+10 2020-06-10

挺好,极大地约束了后续软件开发者的大胆想法

DB+10 2020-06-10

总的来说大家在乎的是免费领取,并不是被盗用了信息做什么用途。我也在用免费领取,但是还是在意安不安全

DB+30 2020-06-10

楼主为了用户利益维权曝光,用户应当支持 不该冷嘲热讽

DB+1 2020-06-10

想用就用,不用干吗杠,就跟葡萄样,有大有小,有好有坏,想吃就买不吃就不买,小苹果以前做连抽抢领贡献多少岛友的,我反正用了几年没出错!

DB+1 2020-06-10

你碰到了别人吃的正香的蛋糕,估计要被揍了

桃子+10 2020-06-10

加油!别停下脚步!

邶沐咖啡

ZxID:62202299

等级: 上士
举报 只看该作者 51楼  发表于: 2020-06-12 0
侵犯隐私权构成违法
整条Gai最靓的仔

ZxID:87123515

等级: 上士
举报 只看该作者 50楼  发表于: 2020-06-11 0
插眼
ssa1121

ZxID:64355873

等级: 中校
举报 只看该作者 49楼  发表于: 2020-06-11 0
恶心 竟然上传cookie
你要来一坨吗

ZxID:18216801

等级: 上将
举报 只看该作者 48楼  发表于: 2020-06-11 0
都是大佬
我是猪p

ZxID:51356759

等级: 中将
偶是一只快乐的逗比猴子
举报 只看该作者 47楼  发表于: 2020-06-11 0
引用
引用第46楼″   浅笑含双靥。于2020-06-11 02:25发表的  :
支持技术大佬,质疑是合理的。

有问题就说出来,大家敞开天窗说话。

https://px.71dm.com/image/http://i.90tuke.com/354.gif?imgsec=pm2RuaX3htAYUXGKhNY59Q&imgexp=1583920800
″ 浅笑含双靥。

ZxID:16640704

等级: 上将
       谨防上当受骗
举报 只看该作者 46楼  发表于: 2020-06-11 0
支持技术大佬,质疑是合理的。

有问题就说出来,大家敞开天窗说话。
       ︿( ̄︶ ̄)︿~~~飞
薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 45楼  发表于: 2020-06-11 0
回 39楼(唯一的光) 的帖子

等我测测、试试、锤锤
薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 44楼  发表于: 2020-06-11 0
回 39楼(唯一的光) 的帖子
不管你支持谁,我都觉得作者在手机版上、加上个收集cookie的说明,就好了;他不加、偷偷收集咱们也没办法。
薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 43楼  发表于: 2020-06-11 0
回 41楼(Kevin7777777) 的帖子
哦,用的人多,能收集更多的cookie呀
薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 42楼  发表于: 2020-06-11 0
回 21楼(大空白) 的帖子
整体来说,你说的那么多就两句话:收集的cookie只用作CF活动,发帖曝光的人心理阴暗是个坏人。前半句,我帖子标题给你概括了,算替你说话了,够客观了把;后半句,这是人身攻击呀。逐段回复你把,难得作者来回复。
    你看看标题足够可观了呀,怎么叫盖帽子。cookie的用处可多了吧,点赞就不算恶意用途呀,cookie很多不是恶意的用途也能赚到钱的,不一一举例了,CF活动邀请只是其中一方面,我上个帖子就没说反对你这样子搞,只是说建议你在手机版加个提示,保障用户知情权呀。无法验证是确实是无法验证的,比如你拿我QQ的cookie,给其他人点了个赞,我怎么去验证我qq给别人点赞过没有?我也不知道你点了赞还是干了啥别的事情呀!没说你收集cookie用作了恶意用途(毕竟用作恶意用途的话、有部分肯定会被发现的),不反对你拿来用作无恶意的赚钱用途,只是建议你在手机版加个提示,把偷偷收集变为光明正大的,我们用你的领取,你用我们的cookie,利益交换。有谁出现过上面这类问题?这类问题是指啥?
    我也觉得cookie盗CF点和盗号无法实现,这点赞同的。但是我的确是没有继续深挖软件有没有其他地方收集别的信息呀,所以我贴子里写了没验证其他的,不排除啥啥啥的,这些都是没排除的,不是有这些行为的,我也是怕后来真有比我有更多时间、技术更厉害的人挖到了其他方面我没挖到的,说我包庇,所以说不排除啥啥啥。
    你说到其他软件了,我还真测过一个软件有心悦猫咪摇铃这功能,没抓到包收集cookie的,我不同时间段测了10次都没发现。我没反对你收集,只是建议你在手机版加个提示,而且,现在没有互点活动、你就心悦猫咪这功能,收集上万个cookie?我看到你心悦猫咪的cookie了,就50个呀,如果1小时20个cookie都失效了(我看了,大部分cookie几小时没变过的),1天最多900个算。互点的确需要很多cookie,但是现在没互点活动呀。完全可以搞个开关,需要了(猫咪cookie失效了、有互点活动了)再打开开关、去收集(就像你软件的烟雾头功能开关一样),这样能避嫌,就是多了个环节,但是技术上完全可以实现的。需要900个,收集几万个,而且这几万个cookie对用户来说是敏感的东西,尽管按你说的盗不了号、也不做恶意用途,但是额外多收集这么多上去、暂时放着没用,你不觉得烫手?也别怪有人会多想!你当然可以凭借着用户的信任,我就收集了,爱说说去。只是建议,不听也罢。人身攻击,大可不必。
    电脑版加了提示!?我之前真不知道,加了的话我替之前像我一样的用户感谢你!感谢你终于保证了我们的知情权,尽管是在这种被迫的情况下。加了提示我就满足?这是什么原理?那我也同样问你,我标题简明扼要替你说话澄清了,只用作CF活动用途,你满足不?至于这个帖子,不写过程把,私信说我只有结果没有过程是污蔑,尽管作者都没否认这结果;写了过程吧,就是装逼。哇,心好累啊!我觉得你该感谢我的,写了逆向的过程之后,你肯定会更新一个更复杂更高深的方式去做这些事情,而且再写的过程中把逆向的这些给加固了,比我技术更厉害的人肯定有,但是那种人就更少了,下次把获取cookie写得更难被发现,再次实锤这些的可能性就更少了。
    朋友交易、收广告费,这叫龌龊和内心黑暗?你可以百度下"PY交易"暗指啥,如果PY交易是龌龊和内心黑暗,那屌丝这个词、你看到了(逐字理解表面意思)是不是得吐一地呀,那你得天天吐了,因为那是经常遇到的词。我上个帖子说了呀,看到是前几个月版块置顶推荐的软件,置顶推荐,所以怀疑有广告费、朋友交易很正常的呀。你说这些、是在离间我和 这几个本来我就不认识的 板块管理的关系吧?这还真没必要,可能你认识,但是我不认识呀。怀疑并非是事实,我帖子里写清楚了怀疑什么还是实锤什么的。
    你登录的少、不发帖,即使你没在这个帖子回复,也跟帖子内容没关系呀。我觉得吧,用户得感谢你做了个免费的、用起来很好用的软件,你也得感谢用户使用(用户给了你cookie)。你就算没来回帖,我也替你说话了,我在标题就写了你这一段话的概括:作者说,收集cookie只用作CF活动。
[ 此帖被薄荷味回忆在2020-06-11 01:15重新编辑 ]
Kevin7777777

ZxID:37848567

等级: 大校
举报 只看该作者 41楼  发表于: 2020-06-11 0
他软件 广告收益应该不错吧,流量挺大的 贴吧论坛几乎都知道
烂、苹果

ZxID:54790731

等级: 大将

举报 只看该作者 40楼  发表于: 2020-06-11 0
引用
引用第15楼小笙离于2020-06-10 21:31发表的  :
楼主为了用户利益维权曝光,用户应当支持 不该冷嘲热讽

[fly][fly][fly][fly].
唯一的光

ZxID:83717371

等级: 少尉
举报 只看该作者 39楼  发表于: 2020-06-11 0
好久不用小苹果了 现在都是群里机器人扫码领取
皮皮虾-社会

ZxID:76857157

等级: 元帅
广交朋友,客气之道

举报 只看该作者 38楼  发表于: 2020-06-11 0
Re:回 25楼(薄荷味回忆) 的帖子
干就完了,我挺你
薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 37楼  发表于: 2020-06-11 0
回 20楼(孤) 的帖子
你三观真正

际遇之神

奖励

发现、检举斑竹工作时间泡MM,管理给予5DB

薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 36楼  发表于: 2020-06-10 0
回 6楼(银馆长) 的帖子
没收钱,但是可能、可以变相收钱,意思是如果你有每天有几万cookie,你也能变现很多钱。但是作者搞没搞我不知道的,所以我不能乱说。只说实锤的是收集了数以万计的cookie

际遇之神

奖励

为了逃避追杀,跳下悬崖,发现古龙的遗忘泉水,获得1清洗卡

本帖de评分: 1 条评分 DB +1
DB+1 2020-06-11

你这是诽谤吧?心悦猫咪互点接口被你拿来说搜集了数以万计的cookie?还实锤了??证据呢?光靠猜就实锤了?

薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 35楼  发表于: 2020-06-10 0
回 8楼(猴岛养猪专业户) 的帖子
懂的人,没一个来说 验证到结果的(软件后台真硬),不懂的人,说啥的都有。
薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 34楼  发表于: 2020-06-10 0
回 9楼(猴岛养猪专业户) 的帖子
测过了。就不给它做广告了。

际遇之神

奖励

追寻春哥的脚步,可无限复活,能力值3DB

薄荷味回忆

ZxID:87959075

等级: 上士
举报 只看该作者 33楼  发表于: 2020-06-10 0
回 10楼(南方电信大区) 的帖子
已经被骂惨了。我等着作者和用户顺着网线来揍我呢
« 返回列表
发帖 回复