24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Что имеем: 1. Bluеstack Apр Рlayer (приложение на нем не открывается); 2. Аndy (эмyль) все работает, об этом далее; 3. Тitanum Вackup (сoхраняем прилoжение при yстановке, cколько пoмню, рaзницы нeт, удaлять c "кишкaми" или yстанавливать тy вeрсию, чтo сoхранял рaнее.
При первoм зaпуске эмулятoрa и прилoжeния нa нeм и ввeдeнии прoмо-кодa всё рaботает. Бaлл начисляeтся и всё oтлично, нo кoгда пытаeшься сдeлать этo вo вторoй рaз, eстественно, нe прoходит. Кoгда меняeшь andrоid ойди нa стoроне прилoжения этo прокатываeт, нo сo сторoны серверa - ничeго нe нaчисляется. Пpи yстановке нoвoй систeмы или при хaрд рeсете ничeго нe мeняется совeршенно, андрoид aйди тoт жe и дaнные тe жe. Чтo можнo пoменять? Кaкие oбходные пyти иcкать?
>>78798179 Баллы можно потратить на так называемые королевские купоны: ВОППЕР Мини (за 5 баллов), ВОППЕР + КИНГ ФРИ (10 баллов) или любое комбо на выбор (25 баллов). Решать вам — использовать баллы сразу или копить на большой подарок. Кстати, еще 2 балла можно заработать за «лайк» страниц BURGER KING на Facebook и ВКонтакте.
Тpaфик шифpуется, кoд для шифpoвaния oбфусциpoвaн. Нo! Мoжнo сделaть dex2jar и пoдключить жapник кaк библиoтеку. Тoгдa будут дoступны метoд для paсшифpoвки сеpвеpнoгo oтветa и метoд для шифpoвaния клиентскoгo зaпpoсa.
Для тoгo, чтoбы пoнять чтo зaпpaшивaет клиент, мoжнo пoстaвить вывoд в лoг вызoв функции encrypt с пoмoщью apk analyser (в aндpoид пpилoжении для шифpoвaния и paсшифpoвки испoльзуется внешний java кoд, a не сишapпный). Тaк кaк лoгкaт oгpaничен, мoжнo мoдифициpoвaть apk: снaчaлa пpеoбpaзует dex в smali, внедpяем свoй кoд для зaписи, нaпpимеp в фaйл, всегo, чтo пpoхoдит чеpез функцию encrypt. Пoтoм oбpaтнo сoбиpaем (apk analyser делaет тo же сaмoе, нo в лoгкaт пишет).
>>78801433 И что? Пробовать аналайзер? Этим сейчас занимаюсь. На 4пда говорили, что после хард ребута мобилы можно баллы себе делать, только я не понимаю, что сбрасыватся при хард ресете.
Лол. У меня есть сорцы приложения. Там внутри .net-сборки, которве запускаются через mono android. С ведра данные подделывать неудобно. Приложение общается с сервером по http, отправляя зашифрованный и пожатый xml и получая аналогичный ответ. Шифрование делается костылями через инвоки жаба-кода.
>>78802619 Прокси + валидные рандомные данные о телефоне (лоялтиплант совчем охуели и собирают кучу инфы, включая даже залогиненный контакт на телефоне). Потраченное время получается сильно дороже бургеров. Я другие данные искал, когда шатал это приложение неделю назад.
>>78803390 Смотри: рабочий час стоит ~500 рублей. На то, чтобы приложение превратилось в простую бтблиотеку и отсылало нужные запросы из- под спермы, не детектясь сервером, у меня ушло пять часов. Это 25 бургеров.
>>78803830 > 500 рублей. На то, чтобы приложение превратилось в простую бтблиотеку и отсылало нужные запросы из- под спермы, не детектясь сервером, у меня ушло пять часов. Но я не работаю и опыта во взломе нет, лол.
ОПчик, интересную ты тему поднял. Я бы поучаствовал в исследовании, но в реверсинге Android приложений дальше dex2jar+jad и IDA (в случае нативного кода) не силён.
>>78804068 >меня это реально перло и похуй на время Same shit, bro. Реверсил дохуя всякой шняги, материальных профитов почти никаких, зато сплошное моральное удовлетворение, когда получается.
>>78803921 >Нет опыта Я тоже немного не в той области работаю. Нормальный взломщик сделал бы всё гораздо быстрее. > не работаю Найди работу и покупай еду, не рискуя глотнуть сгущёнки.
>>78797730 Чото хуйня какая-то. Сделать скрипт, разворачивающий образ от андроид сдк, и заюзать какую-нибудь хуйню для тестирования пользовательского интерфейса приложени для автоматической тычки в нужные места в этом приложении. После каждого использования образ грохать и разворачивать новый. Ничего сложного вроде. Можно ещё трафик пустить через сокс-прокси тора например. мимокрокодил
Раз уж такая годная тема, то спрошу. Кто-нибудь ломал/наёбывал какие-нибудь программы лояльности? Когда есть некий счёт, куда начисляют баллы, которыми потом расплатить можно.
Хакер-кун в треде, все в AES-шифрование. Взломал их приложение 2 месяца назад ради лулзов. Написал полноценный клиент с генерацией фейковых идентификационных данных, полностью раскрутил их схему шифрования и авторизации.
Если интересно, запощу в тред всё, что имею. Ребята, не подведите меня.
>>78804446 >>78804649 Без полноценного реверсинга и воспроизведения алгоритма, наверное, не взлетит. Думаете, мало вас таких, мамкиных нагибаторов системы?
Затем скину свою программу DeBurger, которая может: Расшифровывать передаваемые зашифрованные данные по сети (если кто-то сниффил трафик, то знает, о чем я) Генерирует данные телефона и отправляет запрос на ввод промо-кода
Но программа требует усовершенствований, таких как использование прокси, ибо при отправке промо-кодов с одного айпи аккаунт быстро блокируется.
Можно тупо преобразовать dex в smali и там внедрить код, который по регулярке будет подменять в функции encrypt пока еще незашифрованные данные о железе на свои рандомные. Тогда не надо разбираться со всяким монодерьмом.
>>78805564 > <device-ids device-id="298527684033946" device-id-udi="b1fb2d86eccb62e7" device-id-android="309a28a181eaf3a0" ad-tracking-enabled="false" /> Тут же любой рандом прокатит? Или они как-то взаимосвязаны?
>>78805017 >Схватку умов. В этом случае было ощущение, будто пиздишь ногами паралитика. Писали софтину несколько разрабов. Один не знает про асинки и использует треды и коллбэки, если видит асинки от другого разраба, то синхронно ждёт завершения и использует резалты. Другой знает про них, но не может в шифрование: там есть попытка переписать код на шарпе, но функции не работают и вызывается их версия на жабе. Охуенные щютки девелоперов: поля "private Worker _tadjik", в хмл атрибуты "last-client-id-ok-da".
>>78805768 Чего-то мне такое приятель из Сочи рассказывал. Но там вроде не совсем любые ломаются, плюс оборудование и болванки нужно ещё достать. Годно, конечно. Но, увы, мне пока не пригодится.
>>78805790 Лол, ты - это я. Тоже угораю над разработчиками-дебилами. У тебя получилось сделать так, чтобы с одного айпи с разными данными о телефоне промо-код не банился?
Друзья, вам не кажется что вы заигрались, а? Ну давайте разберем по частям, вами написанное. Начнем с того, что не стоит вскрывать эту тему. Складывается впечатление, что вы молодые, шутливые, контуженные и обиженные жизнью имбицилы, которым все легко. Вот сто раз наверное это уже говорили, но не раскачивайте лодку. Потому что если раскачаете, то будет плохо, и плохо будет всем. Могу вам и в глаза это сказать, готовы приехать послушать? Вы уже совершенно ничего не замечаете в своем кровавом угаре. Остановитесь и будьте людьми. Сюда лучше не лезть. Это не то. Это не Чикатило и даже не архивы спецслужб. Вся та хуйня вами написанная - это простое пиздабольство, рембо вы комнатные. От того, что вы много написали, жизнь ваша лучше не станет. Есть система, которая реально работает, не нужно ломать эту систему. Потому что последствия будут самыми печальными. Пиздеть - не мешки ворочить. Много вас таких по весне оттаяло. Про таких как вы говорят: Мама не хотела, папа не старался. Вникайте в моё послание вам, постарайтесь проанализировать и сделать выводы для себя. Я вполне понимаю что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых – стоп. Остальные просто не найдут.
>>78806294 У меня не было такой задачи - я хотел слить немного данных оттуда. btw, надо будет поступить так же, как пека с инстаграмом сделал - инициировать массовые баны пользователей иногократными запросами.
>>78806788 Ты считаешь, что риск оправдан? Ради каких-то ссаных бургеров ты рискуешь быть пойманным и запятнать себе будущее. Иди хотя-бы курьером поработай и сможешь жрать это говно ежедневно.
Не знаю как у тебя анон, но лично я прихожу в бургер на Беларусской и говорю мол, мне лонги по акции\или морожку и никто никогда не требовал купона и прочего.
>>78806818 Давай так и сделаем. Просто перебираем диапазоны промо-кодов и их супер говносистема автобанит невинных юзеров. Их техподдержке настанет конец.
>>78807099 Они писали на Xamarin, кроссплатформенность тип))))0000000
У них, у лоялтиплантов, была кстати вакансия джава-кодера где-то, может, к ним устроиться и навести там порядок, за одно на клыка кинуть маминым хакерам.
>>78806953 В данном случае я большого риска не вижу. С деньгами у меня проблем нет, если что, вполне могу и в ресторан сходить время от времени. Интересует исследовательская сторона вопроса и сам факт взлома какой-то системы.
>>78807364 Я плавно нахожу тебя,растегиваю ширинку ,ты волнуешься,я не обращая внимания сдергиваю с тебя штаны и ввожу свой член в тебя,от боли у тебя нкчинают течь слезы,не обращая на них внимания я продолжаю.
>>78807353 Поясни за бургеркинг. ЕМНИП, БК раздаёт франшизу, а собственных забегаловок держит не тау много. Кто платит за рекламу, согласует промо-акции и подобное?
>>78807690 > Идиоты можете крякнуть и продать дыру бургерам за большие деньги вместо трех картошек. Идиот,это значит что сцена еще жива,пока еще не все продались за шекали
>>78807690 Там нет дыры. Это то же самое, что пробить витрину в случайном магазине булыжником и потом к начальству магазина и говорить, что они лохи, не могли поставить бронированные стёкла, вот лолки. А затем продать им булыжники.
Что имеем:
1. Bluеstack Apр Рlayer (приложение на нем не открывается);
2. Аndy (эмyль) все работает, об этом далее;
3. Тitanum Вackup (сoхраняем прилoжение при yстановке, cколько пoмню, рaзницы нeт, удaлять c "кишкaми" или yстанавливать тy вeрсию, чтo сoхранял рaнее.
При первoм зaпуске эмулятoрa и прилoжeния нa нeм и ввeдeнии прoмо-кодa всё рaботает. Бaлл начисляeтся и всё oтлично, нo кoгда пытаeшься сдeлать этo вo вторoй рaз, eстественно, нe прoходит. Кoгда меняeшь andrоid ойди нa стoроне прилoжения этo прокатываeт, нo сo сторoны серверa - ничeго нe нaчисляется.
Пpи yстановке нoвoй систeмы или при хaрд рeсете ничeго нe мeняется совeршенно, андрoид aйди тoт жe и дaнные тe жe. Чтo можнo пoменять? Кaкие oбходные пyти иcкать?