「贪吃蛇大作战」的刷分尝试

楼主网站正常打开,没蛤

挺不错的，除了感觉看了博客名之后打码完全没用啊

@qqmishi 哈哈哈哈 好像是这样

@ragnaroks 楼主手机只能挂 vpn 访问(⊙o⊙)

呃， apk 竟然没用加固服务加固一下？太不专业了吧。。。

1024

我靠， APK 逆向能到这个程度？作为外行震惊了。

安卓也尝试抓了一下发现 snake_sign 一直在变动啊

@diefishfish
“通过查看代码，可以清楚的看到 snake_sign 字段的签名逻辑，首先将请求中所有参数按 ASCII 码顺序排列拼接成字符串，然后在字符串前添加 POST& + [URL Path]，添加后使用 Key 进行 SHA1 加密， key 也可以在代码中获取到。对加密生成的结果，需要做一次 base64 ，才是最终 snake_sign 字段的结果。”
kill: 击杀次数
length: 蛇的长度
这俩个参数都是变动的，所以 snake_sign 当然会一直变动的啊

这个是山寨版的中国山寨版。不过做得太烂。

SHA1 后还 b64.。。。用 hexdigest() 也能变成字符串啊。。不搞 Android 开发的渣渣路过。。。现在都不知道怎么逆向。。。

@simpleapples 想问下 为啥要通过 android 逆向 ios 不行么？

我还以为你用 py 写了个脚本来刷呢。原来是这样

@supman 可以啊 只不过安卓刚好提供 apk 下载 直接扔工具里看就可以 方便点

@jccg90
@simpleapples
记得之前有看过一下 iOS 下的包，游戏是用 cocos2d-js 写的，不仅没有加密，连代码都是明文的。。 orz 。。

对啊，按理说不是 sha1 的结果是 40 位的纯数字字母字符串啊，就算 base64.encode 后，在 decode ，还不是 40 位纯数字字符串啊，怎么会不可读

@diefishfish 那个 snake_sign 就是用来校验用的，看啊可能你提交的东西是不是合法，如果你随便改个分数，而又不知道这个 snake_sign 算法的话，他根据分数什么算出来的 snake_sign 肯定不同，就知道你肯定改了某些东西了

哈哈好巧我前天也在弄这个。。 流程和你差不多
是不是刷的分数太高了被过滤了啊，我一开始改了 666666 ，排行榜上没找到，然后改了个比第一名略高一点的分， 150000 ，然后就出来了
不过第二天发现数据被删掉了
还刷过一个 65535 ， 100 多名的也不见了

@0x5e 我刷的分数留了两三天，今天早上发现被删了

包已经抓过了，只是不知道 secret 是什么！

@whnzy gist 上的那个脚本里有哦

怪不得 snake_sign 一直在变。。。