Android安全-逆向Android逆向与安全

微信小游戏破解(一):我要当皇上满级修改

2019-01-08  本文已影响6人  LiuJP

1、我要当皇上的wx小游戏修改

首先游戏长这个样子,

我的长这个样子

1.首先需要用的到的工具,抓包工具,postman

抓包工具有很多,自己百度一下吧。我用的是charles,这个是mac版本的。Windows的网上更多,需要的自己百度,方法都一样。例如: Fiddle

postman,模拟前端发送数据到后台,主要修改的工具。这个下面细说

2.先看看抓包看看,首先需要配置charles的https的拦截功能。

图一

第一个是打开软件的https的拦截,第二个是开启手机的拦截功能。

实现原理,首先软件开启https的拦截,然后手机通过代理链接电脑,即将手机上的所有网络传输,交由电脑指定端口打开。

图二

点击图一中第二个红色方框后,跳出图二所示的内容,此时,需要电脑和手机在同一个局域网内,即在同一个无线网内。

按照上图点击,服务器填写图二的电脑ip地址和8888端口号

然后用苹果手机自带的safari浏览器,打开chls.pro/ssl 这个地址,安装描述文件,

安装描述文件后,iso需要在设置-通用-关于本机-(滑到最下面)证书信任设置,信任刚刚安装的那个描述文件。

//11.26日更新,软件不能抓取手机包的设置

charles软件需要勾选下图方框

以上部分,苹果和安卓类似,手上没有多余设备,没试过。百度是最好的老师,不会的百度,肯定都是可以的,自己稍微再研究一下吧。

2.接下来,打开小游戏,看看没有没有东西。

首先,当你手机能正常连接的时候,会出现下图所示的这个选项,选择allow

然后左侧,就有一堆烂七八糟的请求了。

这时候,有一个我总结出来的小技巧,

首先排除法:连接是qq,或者微信域名的,肯定都不是,因为那些都是腾讯官方的东西,小游戏或者小程序都是自己的服务器。

其次,你可以稍微等等,等请求稳定的时候,先点击上方菜单栏的扫帚,清空一下左边的内容,再打开小游戏。这样请求不会很多,自己多找找就是了。

或者,你可以先打开小游戏,关闭小游戏之前,清空一下左侧的请求。等关闭小游戏后再看看左边的内容。这个自己多试试,就知道了。

好了,请求是有了,可是为什么都是白色图标,内容为unknow呢,因为少了一个配置。就是:

设置Charles的SSL Proxying Settings,

添加所有的域名这一步一定要有,否则就算信任了证书也全都是unknown

示意图如下:

添加地址,这里的有我的添加的地址,对于我要当皇上这个小游戏,其实服务器地址是:https://h5.chiguawan.com,端口号443,添加完,就是下面这个样子了。看名字,很容易看出来问题

保存数据嘛!!!(尤其当你关闭游戏的时候,你会发现,这个请求必然要走一次,所以多看看,就能明白了)

3.那我们来看看,他保存的数据是什么吧?其实看到下面这个图,我的内心是奔溃的,居然是明文,卧槽!!!!但是也很开心,这样就简单多了。

来,看看这些到底是个什么东西吧

既然这样,那我们直接修改不就好了吗?

4.修改数据

打开postman,设置如下

填写上请求路径,配置编码格式

点击body侧,把抓包工具抓到的最后一条saveUserData信息,粘贴进去。

修改coin,后面多加几个0, dbVersion,这个必须改(比原来的值大就行),下面的slots里面,id最大就是37,因为37满级,所以,直接改成37.剩下的自己试试吧

改完后点击上面的send,发送

如果返回结果如下:

那就重新再进出一下游戏,复制最新的saveUserData里的数据,重新再改一下就好了。

修改数据的时候,最好关闭游戏,防止游戏自动保存,把替换的数据又给改回去了!!!!!!

直到返回结果是200的时候,就代表成功了,再进去游戏就好了:

关注微信公众号

查看原文

上一篇下一篇

猜你喜欢

热点阅读