4.12 MagSearch 1.8 爆破

作者：飞龙

软件下载：http://www.xuepojie.com/thread-26549-1-1.html

打开之后是登录界面，随便输入用户名和密码，显示登录失败。

将其载入 AK，搜索“登录失败”，没有反应。搜索它的 Unicode 编码\u767b\u5f55\u5931\u8d25：

在主窗口的时钟1$周期事件中，出现了：

.line 48
const-string v0, "\u767b\u5f55\u5931\u8d25" # 登录失败

sput-object v0, Lcom/warm/公用模块;->登录12:Ljava/lang/String;

我们搜索Lcom/warm/公用模块;->登录12:Ljava/lang/String;：

根据结果，登录窗口中（登录.smali）使用了该字段。

if-gez v1, :cond_1

.line 153
sget-object v1, Lcom/warm/公用模块;->登录12:Ljava/lang/String;

invoke-static {v1}, Lcom/e4a/runtime/应用操作;->弹出提示(Ljava/lang/String;)V

:cond_1
return-void

我们找到调用该字段的地方，这个应该是失败分支，需要向上找到关键判断。

.line 152
:cond_0
# 失败分支

# ...

if-eqz v1, :cond_0

# 成功分支
# ...

我们向上找到:cond_0，如果不跳到这里，就能走成功各分支。我们接着寻找谁使用了:cond_0，然后找到了关键判断。

我们如果想要爆破，一个思路就是把这个关键判断注释掉。但是这样还是要经过这个登录窗口，不够美观。我们现在换一个思路，如果登录窗口不是主窗口，那么我们只需要找到主窗口启动登录窗口的地方，把它改成登录后的那个窗口，就行了。

我们在成功分支中找到：

.line 149
# 热门资源
sget-object v1, Lcom/warm/公用模块;->登录9:Ljava/lang/String;

invoke-static {v1}, Lcom/e4a/runtime/应用操作;->读取窗口(Ljava/lang/String;)Lcom/e4a/runtime/components/impl/android/窗口Impl;

move-result-object v1

check-cast v1, Lcom/e4a/runtime/components/窗口;

invoke-static {v1}, Lcom/e4a/runtime/应用操作;->切换窗口(Lcom/e4a/runtime/components/窗口;)V

也就是说，登录窗口之后是热门资源。我们回到时钟1$周期事件，找到启动登录窗口的代码：

.line 70
const-string v0, "\u767b\u5f55" # 登录

invoke-static {v0}, Lcom/e4a/runtime/应用操作;->读取窗口(Ljava/lang/String;)Lcom/e4a/runtime/components/impl/android/窗口Impl;

move-result-object v0

check-cast v0, Lcom/e4a/runtime/components/窗口;

invoke-static {v0}, Lcom/e4a/runtime/应用操作;->切换窗口(Lcom/e4a/runtime/components/窗口;)V

把最上面那个字符串改成\u70ed\u95e8\u8d44\u6e90（热门资源），编译打包安装之后试试。

成功跳过了登录页面。不过这软件现在已经废了，只能用来练手了。