那一天,学校给我们整了一个“价值4000元”的平板电脑
虽说是这样,实际上是睿易派公司的美名其曰的学生平板。
声称平板值2000元,然而这过时的 三星TAB A P350 已经停产多年,即使是它的新型号 P355 也只卖800元...
声称睿易通提供数据和学习资料价值2000元,然而高中三年下来平板上只有老师推送的寥寥无几的几分文档。
而且平板用着老旧的安卓5,睿易的人删掉了几乎所有的系统应用,只留下少部分必须品和一个名为“少年派”的软件。
这软件属实厉害,有了它你的平板没法上网,锁了双键,没法进开发者选项,没法用设置和少年派以外的应用,甚至没法进9008。
但是我及我们班的一众同学不甘心这“自愿”的4000块钱就只有这么一点体验。
这就是故事的开始。
本篇文章包括但不限于以下内容
当然都只是提到,没有详解
- DNS 劫持
- SQL 注入
- Fiddler 抓包
- 社会工程
- Android 反编译
- adb
听天由命时期
高一上学期的时候拿到平板,什么都没法干,而我们又是知识浅陋的小白,只会局限于老师推送的一些文章之类的东西,也还算是个消遣。但有很大一部分时候老师对平板置之不理,导致平板除了砸人和偷拍以外没有任何用处。
而且这个少年派经常闪退,bug一堆。
觉醒年代
老师手上有一个平板,除了安装了少年派的教师端应用“睿易派”,它还是一个功能正常的平板,可以干所有平板能干的事(但是很卡)。所以有人开始和混得好的老师让他发点歌什么的,不过很少。
当然我们搞到了测试教师的账号,可以给任何人发东西。
于是我们期待着能够给自己的平板上发点视频什么的。
其实少年派最开始全是 http 的连接,很容易抓包,不过后面加了 ssl。
后面有人搞到了某些其他学校的 DNS ,然后我们改 DNS 就可以看到其他学校的内容,有的学校老师发了些骚东西,大家都看得很乐呵。但是后面被搞了,不能这么做了。
于是我们开始用 Fiddler 抓包改包,给把老师发的东西整成一堆视频什么的,也有给自己整一堆 app 的。
上图仅供参考。不过都还限制在少年派的框架里,很多地方有一些困扰。
虫洞纪元
有人发现了睿易派的 bug。
每个人的平板都被锁定了登录自己的账号,正常情况下没法改登其他的。
但是在全校无数人的尝试中流传出一个操作,可以卡掉自己账号,然后登录其他账号。刚开始大家是互相登录别人账号然后在试题本里聊天,后来有人发现了别的学校账号,然后一个个试出了密码,于是就开始跨校联动。那个学校的账号很多人老师都发了电影,让我们很是羡慕。正巧是期末考试总复习的时候,我们很多人都在用这个看电影。
后来被发现了...
第一次突破战役
少年派里有一个破解程序,用于在高三毕业以后给各位韭菜们解开平板返璞归真。
在该程序里扫描特定二维码即可破解程序。最开始时一个二维码可以给所有平板解锁且不限时长,不过在某众团伙被发现之后睿易通的人就紧急修改,改成了每个平板以自身时间为基础计算出一个代码,一小时变更一次,必须用对应于这个代码的二维码扫描才行。
于是我们搞到了少年派的安装包,这个安装包加了层壳。最开始我们用 xposed 模块比如 hookdump 和反射大师之类的,但是一直脱不干净,比如 sercurity 类一直是被混淆了的。后来只好回归最纯粹而质朴的方法,用 JAVA 反射一步步来。
然后得到了二维码算法,直接给自己平板解锁。
第一次反围剿战役
在破解少年派后我们常常登录睿易派给没有破解的同学平板发东西,用的是测试教师账号。但是有一次在睿易派数据库大更新的时候,所有的教师端账号都下线了,就我们一个同学还登录着测试教师账号,而且问题在于:
- 少年派后台会监控设备很多信息,包括当前所在 Activity ,MAC地址,IP地址,当前设备固件版本等。
- 我们所有人的平板都是安卓5,该同学刷成了安卓6。
- 该同学登录了睿易派后马上登录了一下自己的少年派。
于是马上就被锁定了。
那天下午,霞光带着慵懒无力的红色在逐渐黯淡,本就轻柔的阳光穿过树叶的阴翳,投下梦幻般的影子。睿易通工作人员举起微微颤抖的手挥向教室,没有人知道他无奈而充满了精明的眼神在瞟向谁,但谁又都明白他健壮而厚实的胸膛会面对谁......
然后这位老哥的平板就被拿去还原了,不过没有其他的处理,于是我们很快就又破解回来了。
第二次突破战役
在某一天上课的时候,少年派突然推送了新版本,并要求我们在规定时间内更新。
原来的少年派破解之后,要想在玩乐的同时使用少年派,需要进行少年派的 ELM 激活。不过老版本的少年派比较简单粗暴,只需要在文件主目录里增加一个认证文件即可。
但是新版本更新后,少年派的激活无法使用老方法,而且需要强制激活设备管理器,一旦激活,少年派会立刻强制删除平板上所有其他应用,立刻锁回去。而不激活我们又没办法正常上课。
难道万策尽了吗?
确实,在版本更新后的一天内班内人心惶惶,我们一堆人多次集中召开作战会议商讨解决办法。
不过还是解决了问题。
我知道少年派是通过设备管理器来控制我们行动的,所以可以推知只需要限制少年派使用的设备管理器权限即可。
于是强大的 adb 来啦!
用基安酷安老哥开发的炼妖壶,用 adb shell 来激活炼妖壶的设备管理器权限,产生一个 adb 权限限制空间,在炼妖壶的 adb 限制里其他应用都无法使用设备管理器权限,因此就完美制住了少年派。
完成后就可以放心打开少年派的权限而不害怕锁机了。
(在尝试过程中有人的平板因为权限操作失误导致被锁机,但是后来又整回来了)
第三次突破战役
如今破解的大多数是原来已经破解的而通过以上方法升级了版本,而很多本来就锁了的平板在升级版本后破解程序改了算法,而且我们都没有破译出算法,所以新破解一个平板似有点问题。
但是我们在翻查少年派安装包时发现了一个新添加的功能,“重装少年派”。
应用在安装或重装的过程中会有一段时间失去功能,而三星平板的安卓5设置中有一个加密解密设备的功能,在设备加密后可以进行解密,但若解密时发生异常情况,系统为了保护设备数据,会自动恢复出厂设置,这就是我们的突破点。
少年派的在线答疑中可以通过 INTENT 拿起少年派的某个 Activity ,我们于是找到了重装少年派的 INTENT 值,然后通过教师端抓包改包发给同学(因为要是每个人都要找一个老师的账号来发,就会比较麻烦,所以直接改包方便点),在少年派重装过程中短时间少年派失去功能,我们立刻进入设置加密设备,然后解密时强制重启打断解密,就可以恢复出厂设置了,恢复后就可以获得一个崭新的平板。
第二次反围剿战役
破解成功后我们帮助班内很多同学破解平板,导致我们班可能有二十几个 人在上课时进行着前人无法想象的操作。
但是,那位大人,出现了。
他上课时一直盯着平板,明明是不怎么用到平板的课程,于是就被怀疑了。老师让他把平板拿上去,虽然他当时确实没有进行什么操作,但是老师发现了他平板里安装的各种奇怪软件(没有哔咔),这直接打开了老师的脑瓜子,仿佛发现了新大陆。老师立刻下令搜查全班人的平板,在上课的时候当场收上所有人平板去察看。
我们以为要凉了。
但是!!!
我们低估了老师的思维能力,他收上去全班人平板,在全班有近20人破解了平板的情况下,只找了5个平板觉得有问题(包括我的),其中一个甚至是本来就没有破解的普通平板,只是因为里面装了一张 SD 卡。
原来老师以为我们是把软件装在卡上然后拿来破解用的???
然后,老师收缴了我们几个人的SD卡,说检查一下内容,我的卡里全是一些学习资料,还有一些“学习资料”,我觉得老师可能发现了没说,怕我尴尬,老师检查玩后直接把平板和卡还给我了。
WHAT???
多大的阵仗,结果最后几乎无人受伤。
当然,还是有一个人挺悲剧的,他平板被收上去的时候正好打开的不是少年派界面,而是平板的桌面。
老师看到后觉得他是唯一一个破解了的,其他人都是装在卡上玩玩,现在想来也觉得他挺惨的。
再见了,所有的RYIPAD!
可以说,折腾睿易派是高中时光里最刺激时光之一,当然还有其他刺激的,比如高考完在网络上击剑的老哥竟然成为了我大学室友......
睿易派的时光已经结束了,我们大家都可以去选择属于自己的生活。
“我想给予大家,不需要使用睿易派的幸福。”
“所以,你也可以拥有自己的生活。”
“是啊,我会改写了没有睿易派也可以学习的世界,不用关心时间和其他一切,那是个人类生存的新世界。”
——《新世纪睿易战士·终》