掌阅iReader smart xs pro 安装第三方软件笔记

概述

2021年11月入手掌阅iReader smart xs pro,当时主要是为了做笔记,觉得自己不看多少杂七杂八的东西,所以非开放系统也不错。但入手之后发现掌阅在PDF方面的技术水平实在拉胯,KOReader都开源这么多年了,纯扫描PDF居然还是无法重排,这就很需要搞一搞了。

然而,当时只有若干淘宝店做破解生意,要价二百,要求远程操作。二百不多,但远程操作确实有安全隐患,也就拖着了。今日发现有大神找到了一个漏洞并且成功安装了第三方APK,遂照做成功,笔记如下。

原始文章 存档文件以备不时之需。需要与本文对照阅读。

此文发布日期2022年1月9日,此时xs pro阅读器系统版本10.6.0.93,软件版本6.10010.1093(109969),不知后续版本是否会封堵漏洞。从趋势来看,这一信息已经在扩散途中,厂家不会完全不知道。奉劝厂家枪口抬高一寸,因为对于这类用途,你封了漏洞也是不会增加书城销量的。

此处有人搭了一个傻瓜服务器,确实方便,但安全风险多少还是有的。自私一点来说,这类服务器的存在很大地增加了此漏洞被封堵的风险……

主要步骤

这里简要记录步骤,与原文的探索性质不同,略简单一点点,对操作的要求略低一点点。

原文用的是docker,实际上python自带的服务器模块也够用了,python -m http.server 8000启动。

根据原文最后一段,查看版本决定是否需要把APK压缩(不是改名!)成zip.

aapt工具查看APK包名并记录,aapt.exe dump badging .\Coolapk-11.4.7-2112231-coolapk-app-sign.apk.

下载,破※,运行,确保可以正确拦截网络请求。

此处有一处与原文不一样:原文写的是拦截全部包并且手动识别、修改,实操发现手速不够的话,阅读器那边就报错超时了。这个问题可以通过设置拦截规则来解决:关闭所有对出站Request的拦截;对于响应Responses,设置按RequestContain parameter拦截,匹配规则为Wink_AppStore,这样实现了自动把需要修改的响应展示出来的功能,省去了在“阅读出站-右键点击-Do intercept→ Reponse to this request”上花费的时间。

注意burpsuite的代理设置,不能是127.0.0.1:xxx,这样只有本机可以访问。要监听局域网地址。

  1. 在阅读器上设置代理,指向burpsuite的代理;
  2. 在阅读器进入应用商店页面;
  3. burpsuite处弹出响应,快速将其中微信读书的com.tecent.weread.eink修改为你的apk(例如酷安com.coolapk.market),单击Forward
  4. 在阅读器单击“下载”(事先需要卸载微信读书,否则此处是“打开”);
  5. burpsuite处弹出响应,快速将其中的几个空括号替换为下文提到的那一大段响应,单击Forward
  6. 如果正常,burpsuite可能会继续显示几个响应,主要是在从你自己的服务器下载安装包,一律点击Forward放行。
  7. 如果手速满了,可能会重复弹出一样的数据包,但这时候多半已经来不及修改第二个数据包了,重来吧。

放行所有数据,正常安装一次微信读书,把网址响应数据包留下来做模板,并修改其中的appNameappUrl字段,最后大概这样:

{"code":0,"msg":"","body":{"id":2,"name":"\u5fae\u4fe1\u8bfb\u4e66","icon":"http:\/\/book.img.ireader.com\/idc_1\/m_1,w_300,h_400\/75013979\/group61\/M00\/EE\/E0\/CmQUOGEwpDqEX51AAAAAAAeM1VA414608802.png?v=ckr1QuK3&t=CmQUOGEwpDo.","appVersion":"V1.8.3","appSize":"23.0MB","categoryId":2,"appName":"com.coolapk.market","appUrl":"http://192.168.1.99:8000/Coolapk-11.4.7-2112231-coolapk-app-sign.zip","appDesc":"","explain":""}}

其中http://192.168.1.99:8000/Coolapk-11.4.7-2112231-coolapk-app-sign.zip是一开始所构建的服务器的下载地址,提前确认可以下载。

粘贴到burpsuite时会自动排版。

有两个办法,一个是按原文写的那样开启,我确实实践了一遍。

第二个可能太简单了以致于原作没有想到,或者近期厂家改了:插上数据线,拷贝一个apk文件到储存卡,进入酷安(或者随便什么别的文件管理器,我用的是Root Explorer/RE浏览器),在应用管理-安装包那里找到这个apk,点击安装,系统后询问你是否允许此应用安装未知来源应用,点击允许会弹出此app的权限设置界面,此处可能有大面积黑块,往黑块右下角点,那里是开关,然后就成了。

酷安,在前几次进入的时候,很容易闪退,重复几次之后基本不崩溃了。

  • 最后更改: 2022/01/09 10:52