转载

伪造掌阅ireader plus升级的服务器

1. Introduction

最近把原来的499 kindle卖掉了,换成了国内掌阅出的ireader plus(999),掌阅的性价比的确高一点,比(800)kwp3配置看起来高了一些。然而书城资源上,kindle的生态比掌阅好了很多。

我的主要阅读是非休闲的书籍,而且专业书籍一般也不从kindle上买,所以ireader plus更适合我的情况。

但是,ireaderp官方没有放出附件包,提供的服务也不能和kindle比,比如邮件推送,比如公众号推送等等。

了解到ireader是基于android 4.4进行“深度定制”的,但是和pc在相连的时候,是通过MTP协议,而且默认是关闭了usb调试的,万能的国民发现在开机时候,某个时刻点击右上角会弹出android系统自己的设置,并开启usb调试,这样,就可以通过adb连接pc。

但是点击的时机把握太重要了,我点了好多好多次,只点出来一次。

开启usb调试以后,就可以通过adb安装apk,ireader的一个破解群,也提供了一个桌面apk和切换桌面的epub文档。而我唯一点出的一次,竟然鬼使神差在系统设置里把桌面设置成了掌阅默认的。也就没法切换了。

于是想通过别的方法来开启。

2. 开启usb调试的探索

探索1

通过MTP挂载的文件里,发现有个jar包,从文件夹路径以及名字上判断是蓝牙语音读书的插件包。然而反编译以后,并没有发现可以利用的点。

探索2

尽管没有开放出固件,但是万能的国民开启了usb调试以后,就可以获取到ota包。

同时在mtp挂载里,查看ota_log文件,发现ota包存放的位置是 /storage/emulated/0/adupsfota/update.zip ,在群里问侃侃,说mtp挂载的应该是 /storage/emulated/0/ ,我尝试直接建立文件夹,并把ota包放进去,无法检测到。推测是文件夹权限的问题,但是如果的确挂载的是 /storage/emulated/0/ ,而且之前升级时自动新建了一个 adupsfota/ 文件夹的话,应该会冲突,不允许我建立的。这里依旧疑惑。

探索3

既然是通过ota,那么直接分析出整个ota的过程,通过伪造假的ota服务器来进行升级不就行吗,升级成自己修改过设置的包,而且我认为掌阅的开发人员在调试的时候,不会是手动找时机点右上角的设置吧。

下文皆是基于此项探索进行的。

3. 抓包

既然要探查ota过程流量,而ireaderp是通过wifi连接的,那么就需要建立热点,并抓取热点的流量进行分析。由于我的系统是debian sid(tesing),网上流传的小米wifi的驱动无法编译,linux内核太新了,提示错误 code model kernel does not support PIC mode ,在简单搜索以后放弃解决这个问题,直接切换到别人的win下面去。小米wifi建立热点,用wireshark神器抓包分析。

3.1 分析小米wifi的流量数据

由于自己建立的热点数据流量很少,只有13条,其中前6条是ireaderp android系统的服务行为,连接谷歌。后面才是在系统里点击更新时产生的流量。

但是很明显这里的流量都是单向的,从小米wifi(10.0.2.*)到ota服务器(43.254.53.99)。而且三步握手数据也不全面,但是可以看到有个HTTP响应数据,点开数据查看,会发现响应的内容如下:

{"flag":{"LUrl":"no","isInner":1,"isupgrade":1,"displayApp":0,"rand":"611708206","updateStep":0,"DUrl":"http://fotadown.mayitek.com/ota/","mid":"20161129160819WF8361","connfreq":"2940"},"status":1010}

而之前在探索1中,找可用的数据时, system/build.prop 文件里有很多有用的信息,比如版本号等等。跟这里的信息一联系,有很多可圈可点之处。而且很明显 http://fotadown.mayitek.com/ota/ 是下载ota包的连接。

伪造掌阅ireader plus升级的服务器

3.2 分析pc上网卡的数据

小米wifi最后也是通过本机的有线网卡进行的数据转发,因此抓包本机的eth网卡。

通过筛选命令 ip.src==43.254.52.99 or ip.dst==43.254.52.99 可以获取到整个交互过程。同样数据不多,可以看到一条重要的HTTP POST数据,

POST /ota/detectdown/detectSchedule.do HTTP/1.1

Bingo!这就是检测版本号的链接。

在随后的一条就是咱们上面获取到的响应数据。

伪造掌阅ireader plus升级的服务器

同时通过 dns 筛选到底ireaderp是访问什么网址进行请求ota版本检查的,发现了 fota4.adups.cn ,(实际上是访问的 fota4.mayitek.com ,只不过被重定向了)

伪造掌阅ireader plus升级的服务器

那么接下来只需要伪造服务器就可以了。

4. 伪造服务器

分析下整个访问的流程:

ireaderp(发送网址 fota4.mayitek.com 请求) —>小米wifi(转发这个请求) —>dns服务器(解析出域名的ip返回给)—>小米wifi和ota服务器进行三次握手建立链接(将请求的网址发给ota服务器)—>ota服务器(响应这个请求)—>小米wifi(转发返回的数据)—>ireaderp(自己的程序处理响应数据)

这是我大概分析的流程,我们只需要在dns服务器这里,欺骗ireaderp即可。

4.1 dnsmasq

这个软件是很轻巧而且傻瓜式的配置,既可以作为dhcp的分发,也可以进行简单的dns服务。然而实际上最终我被它整乱了,放弃了使用。

本来我在本地pc的 /etc/hosts 里映射了那两个域名到本机,但是在测试过程中发现,dnsmasq不稳定,在其日志里,一会儿优先解析hosts文件,一会儿又通过正常的dns服务器解析。

不再赘述了(这句话饱含心酸)。

4.2 Bind9

放弃dnsmasq之后,搜索搭建dns服务器,发现主要是关于bind9配置的,便学习了简单的配置方法。

不贴说明介绍了,先贴下配置的地方吧。bind的主目录是 /etc/bind/ ,编辑 named.conf.local 文件,添加两个zones:

zone "adups.cn"  { type master; file "/etc/bind/db.adups.cn"; };
zone "mayitek.com"  { type master; file "/etc/bind/db.mayitek.com"; };

然后对照里面的file新建两个文件,直接 cp db.local db.adups.cn 用local模板建立即可。以 mayitek.com 为例,修改 db.mayitek.com 内容如下:

;
; BIND data file for local loopback interface
;
$TTL    604800
@    IN    SOA    mayitek.com. root.mayitek.com. (
                  2        ; Serial
             604800        ; Refresh
              86400        ; Retry
            2419200        ; Expire
             604800 )    ; Negative Cache TTL
;
@    IN    NS    mayitek.com.    
@    IN    A    127.0.0.1
*    IN    A    你的dns服务器ip
fota4    IN    A    你的dns服务器ip

修改的地方可以对照着 db.local 来看。我的bind9版本是 VERSION=9.10.3-P4-Debian

sudo service bind9 restart 来重启服务。

4.3 修改dns配置

修改本机的 /etc/resolv.conf ,添加你的dns服务器ip,注意这个文件是自动生成的,你做的修改在重启网络以后就会丢失。

尝试 ping fota4.mayitek.com 看看是不是你设置的dns服务器ip。如果不是,尝试修改你的dns服务器上的 /etc/hosts 文件映射域名到你的ota服务器ip。

用你的手机或者ireaderp测试,先记录下连接的wifi分配的ip,然后忘记这个网络,重新连接,设置静态地址,将dns服务器修改掉,连接以后,尝试去系统设置里更新。

5. 伪造服务器响应

搭建好了dns服务器以后,还需要搭建ota服务器,当然这两个可以是一个。由于我手头数据不多,只有上面那一个请求响应,所以只能先伪造上面那一个。

用python的tornado web框架写了简单的代码 fake_server.py 来伪造响应:

import tornado.httpserver
import tornado.ioloop
import tornado.options
import tornado.web

from tornado.options import define, options
define("port", default=80, help="run on the given port", type=int)

class IndexHandler2(tornado.web.RequestHandler):
    def get(self):
        greeting = self.get_argument('greeting', 'Hello')
        self.write(greeting + ', friendly user!')
    def post(self):
        self.write('{"flag":{"LUrl":"no","isInner":1,"isupgrade":1,"displayApp":0,"rand":"18388636","updateStep":0,"DUrl":"http://fotadown.mayitek.com/ota/","mid":"20161203160819WF9362","connfreq":"2990"},"status":1011}/n')
        print("get one");
if __name__ == "__main__":
    tornado.options.parse_command_line()
    app = tornado.web.Application(handlers=[(r"/ota/detectdown/detectSchedule.do", IndexHandler)])
    http_server = tornado.httpserver.HTTPServer(app)
    http_server.listen(options.port)
    tornado.ioloop.IOLoop.instance().start()

由于默认是绑定80端口需要sudo, sudo python3 fake_server.py 。设置好ireaderp的dns网络配置以后,点击系统更新,会发现后台获取到了这次请求,(里面有一些杂乱的请求,不是ireaderp发出的)

伪造掌阅ireader plus升级的服务器

6. 修改ota包

修改ota包其实是中午做的,现在还存在问题,尝试伪造update.zip包不成功,解压查看的时候,我只发现了一个md5sum的校验文件,后来改完了配置,我也重新生成了md5sum,发送给别人测试(我的依旧没有开启usb调试),更新失败。这个问题尚未明朗。

目前想法,通过修改 build.prop ,添加如下内容来自动开启usb调试。

persist.servICe.adb.enable=1
persist.sys.usb.config=adb

然后使用abootimg进行了打包,参考 [android]system.img文件的打包和解包 。

7. 总结

整个过程,复习了我很多网络的知识,以及工具的使用。但是实在是太累了。从早上9.00在群里开始讨论这件事情,中午外卖,在宿舍一直坐到晚上6.00,然后去实验室继续做,最后总结文章,写到了第二天的0:30。只因为早上的讨论勾起了我的兴趣。

Reference

有大神破解了iReader plus

Wireshark基本介绍和学习TCP三次握手

烂泥:dnsmasq搭建简易DNS服务器

Ubuntu Bind9泛域名解析配置

DNS开源服务器BIND最小配置详解

[android]system.img文件的打包和解包

其实还有很多很多很多参考,但是实在浏览记录太多了,没有及时mark。

原文  http://www.findspace.name/easycoding/1808
正文到此结束
Loading...