首页
论坛
专栏
课程

[原创]iOS平台几个福利app的破解(Artibee/AcgArt、Acg Stay、Cosplay)

2019-2-13 02:59 6082

[原创]iOS平台几个福利app的破解(Artibee/AcgArt、Acg Stay、Cosplay)

2019-2-13 02:59
6082

0x00 写在最前

早在13年就购买了Acgart的正版授权,后来作者将acgart下架,重上了一款换皮应用Artibee,内购需要重新购买。

因为作者没有完善的老用户补偿方案,遂不再付费。前段时间分手之后,时间突然多出来许多,管不住双手的我总是要找点事情做。

于是乎,本着学习为主的精神,对几款福利软件动手做了破解。

0x01 Artibee(原Acgart)

按照惯例,将可执行文件拖进ida,应用停更的比较老,没有上最新的混淆手段,比较好分析。

Artibee只发布过free版本,需要内购升级成完全版才能保存图片和看高分辨率图片,因此第一步需要破解成完全版。

根据应用使用逻辑,在点击保存按钮时,会弹出需要内购完全版页面。在字符串中查找到showPurchaseController。


查看交叉引用的方法SlideshowViewController clickSaveButton


f5一下,很清晰的看到逻辑。点击保存按钮后,依次校验/Documents/db/目录下的两个sqlite文件。

sqlite文件的文件名是gtxpqmrldu和ygshvqrrgb输出的结果,长度为40位。

逻辑仅校验文件是否存在,而不校验文件内容,因此可以看做是伪装成sqlite的授权文件。


                         gtxpqmrldu


                          ygshvqrrgb

观察gtxpqmrldu和ygshvqrrgb的逻辑可知,输出均为openudid的变形,

首先将40位的udid在13位/20位的位置切割,前后部分调转顺序之后拼接;

然后做字符替换操作:一个是将a替换成7,4替换成m;另一个是将9替换成f。

替换操作使用了componentsSeparatedByString和componentsJoinedByString方法,前者为按参数分割并删除分隔符,

后者为连接字符串并设置参数为连接符,实际操作为替换字符串。

自行根据openudid生成相应的授权文件,既可破解Artibee的fullversion和使徒模式。

老版本的r18内容需要修改plist文件中的ispro值为true,新版经目测在init的时候检查了ispro的值,

建议顺手改一下这里。plist的位置为应用对应沙盒的\Library\Preferences\work.xukeliapp.artibee.plist。

顺便一提,不知道自己设备openudid的话,可以直接在上面提到的plist中找到。


破解效果见上图,内页图过于黄暴,不予展示。

0x02 ACG Stay & CosPlay

ACG Stay 和 CosPlay是iOS上另外两款非常实用的福利软件。目前均已下架,但是可以在pp助手上下载。

惯例拖进ida。因为这两款应用是同一作者,破解思路也完全一样,因此合并在一起。

找入手点,先将设备语言更改为英文。随意收藏几张图片后,提示需要vip才可以收藏14张以上的图片。


在function中搜索vip


猜想第二个函数是右图中弹窗的构造函数


点进去验证了我的猜测,确实如此。那第一个函数就是判断是否有vip授权的函数了么?


分析收藏按钮的具体实现代码,确实是通过检测isVipUser的值来确定是否可以收藏超过14张图片。继续分析isVipUser函数。


isVipUser函数的返回值实际上是isNoAdBought的返回值,继续跟进去


isNoAdBought是检测是否内购的具体功能函数,这里通过hook把isNoAdBought的返回值改为true解决问题。

有的同学可能会提问,为什么不直接修改isVipUser的返回值,而去修改isNoAdBought的返回值?

当然是因为isNoAdBought比isVipUser更底层,改了底层的返回,上层自然会随之更改,

而后从两者的交叉引用上也可以看得出还有更多的函数需要调用isNoAdBought的返回值。



这里改完,已经可以随意收藏图片了,不受免费用户的14张限制。但是依然不能解锁18x模式。

根据使用经验,一般福利软件是通过收藏,下载超过一定量的图片数量解锁福利功能,

当然也有的是检测安装天数,启动次数等,再此不一一列举。

巧合的是,之前观察isVipUser的交叉引用,其中有一个函数calcuPoints引起了我的注意。


函数逻辑十分清晰,如果购买授权,点数=点击广告次数*8+启动次数*7+收藏图片数量*4,

如果没有购买授权,则为收藏图片数*3+点击广告次数*2+启动次数*2。

当启动次数大于12次,且点数大于307时,开启福利。

为验证思路,往上跟两层,发现shouldShowHButton,很直白,也不用多说了,就是他。




将calcuPoints返回值改为true,测试ok。



HButton为调试模式开关。

0x03 独乐乐不如众乐乐

AcgStay&Cosplay解锁插件打包成了deb,越狱设备可以直接安装使用。


Artibee如果是越狱设备直接自行创建两个sqlite文件即可。

非越狱设备可以通过尝试恢复我提供的应用数据实现破解。


点击小三角,选择恢复应用数据


(支持iOS任意版本,包括iOS12.1.x)

iMazing为免费应用,恢复备份无需购买授权。百度搜到的第一个结果不是官网,官网https://imazing.com

deb插件和应用备份文件可从本文附件中下载。

0x04 写在最后

本文中所有应用均可从pp助手下载,如下架之前在App Store下载过的话也可以在App Store的已购应用中找到。

ps:手冲一时爽,一直手冲一直爽。

希望2019可以成功脱单,过上没有手冲的生活。


祝各位新的一年猪事顺利,性福美满。



[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

最后于 2019-2-14 12:07 被myhloli编辑 ,原因: Artibee的算法分析漏了字符串分割颠倒顺序再拼接的过程,已补上
上传的附件:
下一主题
打赏 + 5.00
打赏次数 1 金额 + 5.00
收起 
赞赏  Editor   +5.00 2019/02/14 感谢分享~
最新回复 (14)
kanxue 8 2019-2-13 10:07
2
0
建议图片存在论坛本地一份,现在图片全是外链“https://blogcdn.myhloli.com/wp-content/uploads/2019/02/image-15-1024x618.png”,时间长了,会丢失。
注:一般的链接,论坛编辑器会自动本地化,但有些URL,由于一些限制,不能自动本地化。这个URL就是这个情况。
最后于 2019-2-13 10:08 被kanxue编辑 ,原因:
myhloli 1 2019-2-13 10:51
3
0
kanxue 建议图片存在论坛本地一份,现在图片全是外链“https://blogcdn.myhloli.com/wp-content/uploads/2019/02/image-15-1024x618.png”, ...
已经把外链图片全部本地化
kanxue 8 2019-2-13 11:16
4
0
myhloli 已经把外链图片全部本地化[em_84]
xmhwws 2019-2-13 17:37
5
0
ps:手冲一时爽,一直手冲一直爽。哈哈哈哈,厉害
无知的瑜 2019-2-13 22:06
6
0
我Android被抛弃了吗???
wanttobeno 2019-2-14 10:23
7
0
第一个app算法没看懂, ba54574f64cd455b2cbd61f32cba871eafcb740c计算结果是啥?

算出来了,还测试通过了
55b2cbd61f32cb7871e7fcb7m0cb75m57mf6mcdm.sqlite

61f32cba871eafcb740cba54574f64cd455b2cbd .sqlite

需要开始锁,隐藏菜单才会出现。

最后于 2019-2-14 11:49 被wanttobeno编辑 ,原因:
myhloli 1 2019-2-14 10:39
8
0
wanttobeno 第一个app算法没看懂, ba54574f64cd455b2cbd61f32cba871eafcb740c计算结果是啥?
写的时候忘记了一步,从第13位切割/从第20位切割,然后颠倒顺序之后再连接上。最后算出来是你那个结果。
最后于 2019-2-14 12:01 被myhloli编辑 ,原因:
myhloli 1 2019-2-14 10:40
9
0
无知的瑜 我Android被抛弃了吗???
安卓直接装个ehview或者哔卡不也挺好的吗
许文伟爱工作 2019-2-14 11:29
10
0
TinHsieh 2019-3-6 18:01
11
0
学习了!真的实用!
mb_lfpxpdbe 4天前
12
0
那么问题来了,acgstay无法保存图片咋办
myhloli 1 3天前
13
0
mb_lfpxpdbe 那么问题来了,acgstay无法保存图片咋办
你装了我附件里的deb插件就能保存了啊
mb_uglbhcqc 1天前
14
0
此楼层已删除
mb_lxejazlg 12小时前
15
0
myhloli 你装了我附件里的deb插件就能保存了啊
大神,能加一下我Q Q:5177477吗?有编程的事情求助,自己实在不会,谢谢
游客
登录 | 注册 方可回帖
返回