教你四行代码搞定钉钉打卡

前言: 本文讲述如何用最少的代码,实现钉钉的远程打卡。

1.下载最新破解版本的钉钉打卡(当然如果你勤快也可以自己去砸壳)。

教你四行代码搞定钉钉打卡_第1张图片
111.jpg

2.借用杨君大神的 iOS符号表恢复&逆向支付宝 (注意: 现在的App大多都是armv7、arm64双架构,符号表恢复的时候需要用到 “lipo” 命令,分别恢复再合并)。

教你四行代码搞定钉钉打卡_第2张图片
22.jpg

3.使用XCode的lldb调试(默认情况XCode的lldb没有权限调试第三方应用)

教你四行代码搞定钉钉打卡_第3张图片
33.jpg
提示: Ensure “XXXX” is not already running, and cardlan_yuhuajun has permission to debug it.

========== 给App添加一个可调式权限 ==========
1.将应用程序从设备上拷贝到本地
2.利用 ldid 将应用程序的 code sign 导出:ldid -e AlipayWallet >> AlipayWallet.xml
3.在 AlipayWallet.xml 文件中添加 get-task-allow 权限
get-task-allow
4.利用 ldid 对应用进行重签名 ldid -SAlipayWallet.xml ./AlipayWallet
5.将应用拷回设备,将设置可执行权限 chmod 755 AlipayWallet
参考:(https://blog.csdn.net/kissing_huo/article/details/78548942)

4.附加进程

教你四行代码搞定钉钉打卡_第4张图片
44.jpg

5.分析

教你四行代码搞定钉钉打卡_第5张图片
55.jpg
Reveal:分析出打卡这个界面是一个H5,说明是H5与原生的交互(Bridge)。 既然是H5调用原生,那么源头还是在原生,直接转到原生分析.

教你四行代码搞定钉钉打卡_第6张图片
66.png
本地写一个demo,得到启动定位的关键函数 startUpdatingLocation

5.1 用第4步附加了钉钉打卡进程的XCode,添加一个Xcode 符号断点(Symbolic Breakpoint)
教你四行代码搞定钉钉打卡_第7张图片
77.jpg
5.2 symbo 中添加关键字函数 startUpdatingLocation

教你四行代码搞定钉钉打卡_第8张图片
88.png
回车后,由于恢复了符号表,XCode自动查找并列举所有调用过这个函数的类
教你四行代码搞定钉钉打卡_第9张图片
99.jpg

这个时候再进入到打卡界面,断点会被断下:
教你四行代码搞定钉钉打卡_第10张图片
aa.png
每次进入到打卡页面都会触发 AMapLocationManager类的 startUpdatingLocation,这是启动或刷新定位,那么接收定位数据的由 CLLocationManagerDelegatelocationManager:(CLLocationManager *)manager didUpdateLocations:(NSArray *)location代理方法。至此我们得到的定位数据的源头,iOS系统的代理方法返回了当前的位置信息。

5.3 给代理方法添加一个断点,查看函数调用过程
教你四行代码搞定钉钉打卡_第11张图片
bb.png

再次进入到打卡页面,得到所有的函数调用过程:

教你四行代码搞定钉钉打卡_第12张图片
cc.jpg

H5调用原生的定位 [AMapLocationManager startUpdatingLocation],在 [AMapLocationManager locationManager:didUpdateLocations:]源头中得到系统定位坐标,回调给H5,至此分析结束。

Tweak.xm

通过一个demo,模拟实现一下iOS获取坐标:

教你四行代码搞定钉钉打卡_第13张图片
dd.jpg
发现 locations这个参数返回的是一个 __NSArrayM类型,而这个类型实际指向的是 NSMutableArray 详情请参考 __NSArray0、__NSArrayI、__NSArrayM
既然是用 NSArray指向一个可变数组,那么用iOS的深浅拷贝就可以实现偷梁换柱。
代码:

%hook AMapLocationManager
- (void) locationManager:(id)arg1 didUpdateLocations:(id)arg2{
    CLLocation *lar = [[CLLocation alloc] initWithLatitude:39.9072885060602 longitude:116.39123343289631];
    NSMutableArray *array = (NSMutableArray *)arg2; // 可变数组指向 NSArray指向的可变数组。
    [array removeAllObjects]; //删掉系统返回的坐标
    [array addObject:lar]; // 添加我们自己的目标坐标
    %orig;
}
%end

总结

钉钉使用的是高德地图(GCJ02坐标),iOS系统CLLocationManager得到的是WGS84坐标,在实际操作当中需要进行一次坐标的转换。
真正的逻辑代码就4句:

教你四行代码搞定钉钉打卡_第14张图片
1122.png

这里提供两个网站:

高德地图坐标拾取系统
火星坐标在线转换

将高德地图拾取到的坐标转换成WGS84,然后赋值给CLLocation

教你四行代码搞定钉钉打卡_第15张图片
133750x03z368taztc3ald.png

最后附上效果图,本人在上海。

你可能感兴趣的:(教你四行代码搞定钉钉打卡)