• XSS.stack #1 – первый литературный журнал от юзеров форума

прочее APKRebuilder (0.1a)

Отслеживать
pewpewpew

pewpewpew

(L2) cache
Пользователь
Регистрация
27.11.2018
Сообщения
336
Реакции
318
У вас должно быть более 10 сообщений для просмотра скрытого контента.
Ноги растут отсюда - xss.pro/threads/35370/
Тут прекрасно продаётся (когда ничего нет) - xss.pro/threads/34882/
Тут прекрасно наёбывается (когда дали потестить альфу альфы) - xss.pro/threads/35432

Скачать: mega.nz/#F!UlIyGQCI!s1Qp6dsNJVQeSlaIXCshTA

На данный момент практически не юзабельно, из-за отсутствия клиенской программы. Допилю позже, если вам будет интересно. Сейчас выложил в ознакомительных целях, и как доказательство "не начатой работы".
Кому интересно, распишу подробнее. В двух словах, качаете архивом, запускаете через докер:
Код: 
sudo docker-compose up --build (1 поток)
sudo docker-compose up --build --scale worker=5 (5 потоков, например. Рекомендуется по потоку на ядро)
Алгоритм работы той дивной методики за 250$/мес. следующий (он должен был дополняться, но это на словах):
  • 1. Получаем исходный apk. Декомпилим через apktool (apktool d file.apk -o dest_dir)
  • 2. Правим в манифесте (renameManifestPackage) и apktool.yml (package) название пакета на рандомное
  • 3. Собираем обратно (apktool b dest_dir -o new_file.apk)
  • 4. Генерим серт через keytool либо используем свой (keytool -genkey -dname CN=DmoD0=DooMC=cfpall -keystore keyfile.jks -keysize 1024 -alias test -keyalg RSA -validity 14000 -keypass 123456 -storepass 123456)
  • 5. Подписываем сертом апк (jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore keyfile.jks -storepass 123456 new_file.apk test)
  • 6. Обжимаем через zipalign (zipalign -p 4 new_file.apk result_file.apk
  • 7. Отдаём result_file.apk клиент
PS: Это мой первый проект c REST-API. Это мой первый проект на докере. Поэтому, несмотря на весь негатив и медленную работу, я получил крутой опыт в том, что хотел давно попробовать. Спасибо, мистер заказчик)
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Надо было под хайд поставить. А то сейчас предпримчевые мамкины комерсанты начнут на форумах продавать сие продукт
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Metis сказал(а):
Надо было под хайд поставить. А то сейчас предпримчевые мамкины комерсанты начнут на форумах продавать сие продукт
Таки верно, стоило хайд поставить)
 
pewpewpew сказал(а):
4. Генерим серт через keytool либо используем свой (keytool -genkey -dname CN=DmoD0=DooMC=cfpall -keystore keyfile.jks -keysize 1024 -alias test -keyalg RSA -validity 14000 -keypass 123456 -storepass 123456)
Ну так вы получается подписывали файлы клиентов сертификатом, который блочится Google Protect-ом :)
Как следствие - ни одного инсталла не будет )))
Просто жесть... суть всей вашей затеи - 1.разобрать апк => 2.поменять название package => 3. собрать апк обратно => 4.подписать его сгенерированным сертификатом, который палится Google Protect-ом => 5. Выдать клиенту :)
Каким образом это должно было увеличить живучесть файлов, когда из-за такого сертификата апк просто не инсталился на устройство ? ))))
Я ведь не зря в треде задавал вопросы. Впрочем, все было очень очень сомнительно!
 
Пожалуйста, обратите внимание, что пользователь заблокирован
GoldenCrypt сказал(а):
Ну так вы получается подписывали файлы клиентов сертификатом, который блочится Google Protect-ом :)
Как следствие - ни одного инсталла не будет )))
Просто жесть... суть всей вашей затеи - 1.разобрать апк => 2.поменять название package => 3. собрать апк обратно => 4.подписать его сгенерированным сертификатом, который палится Google Protect-ом => 5. Выдать клиенту :)
Каким образом это должно было увеличить живучесть файлов, когда из-за такого сертификата апк просто не инсталился на устройство ? ))))
Я ведь не зря в треде задавал вопросы. Впрочем, все было очень очень сомнительно!
Так ТС - исполнитель, всю смуту навел Д'Артаньян, являясь обычным посредом, который своими руками ничего и не делал, судя по всему)
 
GoldenCrypt, попрошу не обобщать меня с затеей заказчика, т.к. алгоритм и сам сервис ко мне не имеют отношения. Я лишь написал апи-обертку, а как себя будет вести апк, не моё дело. Но, соглашусь, даже мне, человеку далекому от мобайла, эта схема показалась слишком очевидной, чтобы её можно было успешно применять на практике. Не говоря уже о продажах за баснословные суммы.

upd: поставил легкий хайд
 
GoldenCrypt сказал(а):
Ну так вы получается подписывали файлы клиентов сертификатом, который блочится Google Protect-ом :)
Как следствие - ни одного инсталла не будет )))
Просто жесть... суть всей вашей затеи - 1.разобрать апк => 2.поменять название package => 3. собрать апк обратно => 4.подписать его сгенерированным сертификатом, который палится Google Protect-ом => 5. Выдать клиенту :)
Каким образом это должно было увеличить живучесть файлов, когда из-за такого сертификата апк просто не инсталился на устройство ? ))))
Я ведь не зря в треде задавал вопросы. Впрочем, все было очень очень сомнительно!
А почему он должен палится, вновь подписанный apklool? У меня например апк начинает гп блочить при инсталле, я просто его подписываю и аля-вновь гп его принимает и инсталл проходит)
 
qvp сказал(а):
А почему он должен палится, вновь подписанный apklool? У меня например апк начинает гп блочить при инсталле, я просто его подписываю и аля-вновь гп его принимает и инсталл проходит)
Тут больше переименование пакета ни о чем, АВ всеравно спалит, а ГП похрену на это, достаточно подписи
 
GoldenCrypt сказал(а):
Ну так вы получается подписывали файлы клиентов сертификатом, который блочится Google Protect-ом :)
Как следствие - ни одного инсталла не будет )))
Просто жесть... суть всей вашей затеи - 1.разобрать апк => 2.поменять название package => 3. собрать апк обратно => 4.подписать его сгенерированным сертификатом, который палится Google Protect-ом => 5. Выдать клиенту :)
Каким образом это должно было увеличить живучесть файлов, когда из-за такого сертификата апк просто не инсталился на устройство ? ))))
Я ведь не зря в треде задавал вопросы. Впрочем, все было очень очень сомнительно!
Голди, бро, это то о чём мы с тобой говорили в жабе) Фейк серт и не более того....
 
qvp сказал(а):
А почему он должен палится, вновь подписанный apklool? У меня например апк начинает гп блочить при инсталле, я просто его подписываю и аля-вновь гп его принимает и инсталл проходит)
Потому что Google Protect уже давно палит любой фэйково -сгенерированный сертификат. При установке апк - Google Protect выдаст варн по типу - Неизвестный разработчик и т д. Он не даст апк установится вообще! Те кто работают с андроид ботами это знают ))
 
qvp сказал(а):
меня например апк начинает гп блочить при инсталле, я просто его подписываю и аля-вновь гп его принимает и инсталл проходит)
На это и была ставка сервиса. Планировалось на каждый прогруз выдавать уникальный билд. Т.е., понимаете какая там нагрузка должна быть? А "начальник", бл#ть, взял одноядерный сервант с MVP-скриптом, и начал его впаривать. В итоге всё упало, а виноват кодер :)
 
GoldenCrypt сказал(а):
Потому что Google Protect уже давно палит любой фэйково -сгенерированный сертификат. При установке апк - Google Protect выдаст варн по типу - Неизвестный разработчик и т д. Он не даст апк установится вообще! Те кто работают с андроид ботами это знают ))
Так я работаю и давно не с вчерашнего дня) Просто подписываешь апк и все инсталлится
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Это вам не продавать крутого несуществующего бота в тапки срать, вы просто не понимаете его, он, видимо, в дороге был и не так кодеру объяснил задумку:D
 
Крышку на рабочем ноуте уже закрыл, а с мобилки тз объяснять неудобно, поэтому такое...
(01:01:27) zz: i just asked about screenshot
(01:01:39) DooM: i close work pc with sources
(01:01:49) zz: we talking about 20minutes
(01:01:54) zz: u had time to open pc again
(01:01:57) zz: nvm
(01:01:57) DooM: i ill and want sleep
 
pewpewpew сказал(а):
Крышку на рабочем ноуте уже закрыл, а с мобилки тз объяснять неудобно, поэтому такое...
(01:01:27) zz: i just asked about screenshot
(01:01:39) DooM: i close work pc with sources
(01:01:49) zz: we talking about 20minutes
(01:01:54) zz: u had time to open pc again
(01:01:57) zz: nvm
(01:01:57) DooM: i ill and want sleep
спать говорит хочется, какой же цирк )))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
kosok11 сказал(а):
спать говорит хочется, какой же цирк )))
В дороге, бывает, очень сильно хочется спать, ну что ты начал то, нормально же общались)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
BabaDook сказал(а):
Нет Речь шла о паблике. Автор верно все сделал.
Я думаю, что слова про паблик звучали в контексте комьюнити (в данном случае - дамага), соответственно наличие хайда помогло бы распространить инфу только среди комьюнити, минимизировав копипасты (хотя все мы прекрасно знаем, что сливают всё). Так сказать - ИМХО)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Cl0Ud5 сказал(а):
Я думаю, что слова про паблик звучали в контексте комьюнити (в данном случае - дамага), соответственно наличие хайда помогло бы распространить инфу только среди комьюнити, минимизировав копипасты (хотя все мы прекрасно знаем, что сливают всё). Так сказать - ИМХО)
Кто как понял.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх