0x1 前言

上一篇文说了将加强版强刷满分版系统的方法，并在文末放出了新系统的ADB密码，这篇文主要是说破解过程的，如果对破解过程没有兴趣的同学可以直接看结论。

0x2 结论

截至 23/01/17，有道已为所有有密码的系统更换验证脚本为 SHA256 比对，本文所述全部方法均失效！

1x3 方法一：抓包

一、工具准备

• imgRePackerRK

• WireShark

• 7zip

• 有道词典笔3（必须）

二、抓包

• 部署WireShark的过程不再赘述，由于笔没有提供代理服务器的设置功能，所以我是在路由器（openwrt）上直接tcpdump抓包的。

• 连上路由器，回车命令

• 快速在笔上检查一次更新，然后Ctrl+C停止抓包

• 将pen-dump.cap下载到电脑上，直接用wireshark打开，按图操作

• 随便找个地方粘贴下，就能看到POST请求体了，不得不批评一下某团队，这年头HTTP连个S都没。

• 然后，随便找个POST测试网站，请大家自行搜索

• 粘贴链接和请求体（下面的JSON）并把version改成1.0.0，你怎么知道改成1.0.0的？我猜的啊

• 点击模拟请求，我们就得到了某OTA服务器的响应

• 不用我多说了吧，直接拿deltaUrl把镜像下载下来就行

三、解包

• 把下载下来的img放到 imgRePackerRK 同级目录下，打开终端（不会有人不知道cd吧）直接用以下命令解包

• 解包完成后进入目录，解包rootfs

• 然后你就能在 /usr/bin 下发现一个神秘文件

• 简单注释了一下，其实二师兄过来应该都知道密码是啥了......

四、一点感想

有没有感觉，破解这个密码是不是很简单甚至有些愚蠢？我在学校设想该团队可能会整出点什么活的时候，各种根据设备算号、联网取号、随机密码都想到了，可是回家操作实践时一路下来人还是很懵币的——为什么？因为这个系统一点都不瞒着我（OTA还在用不安全的HTTP，千篇一律的弱口令，令人目瞪口呆的明文验证脚本等等）某些事做起来比我想象的容易太多，唉！

五、另外....

可以确定的是，有道在1.1.0为三代加入了ADB密码。我试了好几个型号的OTA，我能猜到的老版本包都已经有adb_auth.sh了（文件列表在all_file_md5.txt里看），所以不得不承认这个办法破解密码还是有些运气成分和某团队的支持在里面的。

1x4 方法二：Dump分区

• 由于当初对RK芯片不是很了解，所以一开始用的是抓包法破出来密码的。这个方法是在我给加强版强刷满分版系统时摸索出来的方法。

一、工具准备

• AndroidTool v2.38

• RKDevTool_v2.86

• DriverAssitant（驱动）

• DiskGenius（没想到吧，或者你有Linux设备也可以）

二、进入LOADER模式

按照文章头提到的文章中的方法进入，不再赘述

三、导出system_a

• 打开 2.86 版本的RKDevTool，如图操作，记下system_a的LBA和Size（图上忘标了）

• 然后打开 2.38 版本的AndroidTool，如图操作

• 大概需要3分钟，提示导出成功后打开DiskGenius

• 选择磁盘>>打开虚拟磁盘文件

• 定位并打开你导出的system_a.img

• 接下来....，不多说了，在方法1的第三节讲过了

• 如果你用Linux的话，可以用以下命令挂载img，既然都用Linux了应该不用我再指导了

1x5 最后

探索不易，欢迎注册社区 https://dictpen.amd.rocks/ 与我们交流~