0x1?前言

上一篇文說了將加強版強刷滿分版系統(tǒng)的方法，并在文末放出了新系統(tǒng)的ADB密碼，這篇文主要是說破解過程的，如果對破解過程沒有興趣的同學(xué)可以直接看結(jié)論。

0x2 結(jié)論

截至?23/01/17，有道已為所有有密碼的系統(tǒng)更換驗證腳本為?SHA256?比對，本文所述全部方法均失效！

1x3 方法一：抓包

一、工具準(zhǔn)備

• imgRePackerRK

• WireShark

• 7zip

• 有道詞典筆3（必須）

二、抓包

• 部署WireShark的過程不再贅述，由于筆沒有提供代理服務(wù)器的設(shè)置功能，所以我是在路由器（openwrt）上直接tcpdump抓包的。

• 連上路由器，回車命令

• 快速在筆上檢查一次更新，然后Ctrl+C停止抓包

• 將pen-dump.cap下載到電腦上，直接用wireshark打開，按圖操作

• 隨便找個地方粘貼下，就能看到POST請求體了，不得不批評一下某團隊，這年頭HTTP連個S都沒。

• 然后，隨便找個POST測試網(wǎng)站，請大家自行搜索

• 粘貼鏈接和請求體（下面的JSON）并把version改成1.0.0，你怎么知道改成1.0.0的？我猜的啊

• 點擊模擬請求，我們就得到了某OTA服務(wù)器的響應(yīng)

• 不用我多說了吧，直接拿deltaUrl把鏡像下載下來就行

三、解包

• 把下載下來的img放到?imgRePackerRK 同級目錄下，打開終端（不會有人不知道cd吧）直接用以下命令解包

• 解包完成后進入目錄，解包rootfs

• 然后你就能在 /usr/bin 下發(fā)現(xiàn)一個神秘文件

• 簡單注釋了一下，其實二師兄過來應(yīng)該都知道密碼是啥了......

四、一點感想

有沒有感覺，破解這個密碼是不是很簡單甚至有些愚蠢？我在學(xué)校設(shè)想該團隊可能會整出點什么活的時候，各種根據(jù)設(shè)備算號、聯(lián)網(wǎng)取號、隨機密碼都想到了，可是回家操作實踐時一路下來人還是很懵幣的——為什么？因為這個系統(tǒng)一點都不瞞著我（OTA還在用不安全的HTTP，千篇一律的弱口令，令人目瞪口呆的明文驗證腳本等等）某些事做起來比我想象的容易太多，唉！

五、另外....

可以確定的是，有道在1.1.0為三代加入了ADB密碼。我試了好幾個型號的OTA，我能猜到的老版本包都已經(jīng)有adb_auth.sh了（文件列表在all_file_md5.txt里看），所以不得不承認(rèn)這個辦法破解密碼還是有些運氣成分和某團隊的支持在里面的。

1x4 方法二：Dump分區(qū)

• 由于當(dāng)初對RK芯片不是很了解，所以一開始用的是抓包法破出來密碼的。這個方法是在我給加強版強刷滿分版系統(tǒng)時摸索出來的方法。

一、工具準(zhǔn)備

• AndroidTool v2.38

• RKDevTool_v2.86

• DriverAssitant（驅(qū)動）

• DiskGenius（沒想到吧，或者你有Linux設(shè)備也可以）

二、進入LOADER模式

按照文章頭提到的文章中的方法進入，不再贅述

三、導(dǎo)出system_a

• 打開 2.86 版本的RKDevTool，如圖操作，記下system_a的LBA和Size（圖上忘標(biāo)了）

• 然后打開 2.38 版本的AndroidTool，如圖操作

• 大概需要3分鐘，提示導(dǎo)出成功后打開DiskGenius

• 選擇磁盤>>打開虛擬磁盤文件

• 定位并打開你導(dǎo)出的system_a.img

• 接下來....，不多說了，在方法1的第三節(jié)講過了

• 如果你用Linux的話，可以用以下命令掛載img，既然都用Linux了應(yīng)該不用我再指導(dǎo)了

1x5 最后

探索不易，歡迎注冊社區(qū) https://dictpen.amd.rocks/ 與我們交流~