某成人水果APP非VIP用户存在播放次数限制，每天只能播放3次。超过3次需要购买VIP。 由于过于贫穷，于是抽空，对其安卓APP进行了逆向分析，最终成功破解了其播放次数限制。

通过使用发现，当我点击列表，跳转至视频详情页时，播放次数就会减一。如果APP开发人员，更改播放次数和获取视频详情时使用了两个单独的接口，我们就可以通过屏蔽更改播放次数的接口，让可播放次数永远不减少，从而实现无限播放

APP存在匿名注册，安装并打开APP后，无需手机号和邮箱，会自动生成一个匿名账号。这种匿名注册一般都是会根据手机硬件相关的信息生成uid。这样的话，可以在每次播放次数用完后，hook手机硬件相关的API， 返回新的硬件信息，注册新的匿名账号，从而实现无限播放

有了大致思路，老规矩，先抓包看看APP的接口信息。打开BurpSuite, 配置代理。发现请求和响应都存在加密。

所以需要先解密。

因为App最终还是需要使用明文数据的，所以APP中肯定有解密函数。

打开Jadx-gui, 将apk打开，发现没有加壳。搜索请求参数关键字_ver, timestamp，sign等，定位到加密逻辑

EncrytUitl.encrypt这个方法进行了加密，EncryUtil.decrypt 这个方法进行解密。

由于加解密都是通过so库完成，逆向出完整解密逻辑比较困难并且也没有必要。所以直接通过frida + brida + burpsuite，直接调用解密函数进行解密

设置brida

点击decrypt标签即可解密

解密后，发现/api/mv/watching 接口非常可疑，很像是用来标记观看次数。报文如下

使用burpsuite intercept并且drop相关请求，可观看次数的确没有减少。

然而经过多次尝试，发现次数虽然没有减少，但是当连续观看3次之后，需要重启APP或者去个人中心页面，刷新个人信息，才能继续观看。

猜测可能是因为APP会在内存中维持一个状态，进行计数。重启或者去个人中心页面刷新，会重置这个状态。

继续抓包，发现重启或者刷新个人中心页面，都会调用/api/users/getBaseInfo ,其响应报文中有一个can_watch字段

搜索can_watch相关代码

代码逻辑为，接口请求成功后，如果can_watch >= 0, 则将其存放到sp中，key为key_left_watch_count

搜索key_left_watch_count 相关代码

相关代码逻辑大致为，进入详情页播放时，判断是否为vip，如果是，则跳过can_watch逻辑，直接可以播放。如果非vip,则从sp中读取can_watch的值，如果大于1，则可以播放，并且将can_watch - 1 后重新写入sp中

综合以上分析，破解的步骤如下

使用frida进行hook, 验证想法是否正确。一切正常，成功运行

打开AndroidKiller, 反编译出smail代码

修改smail代码，修改如下。这里为了UI界面正常显示，顺便修改了getVip_level , 让它永远返回4

直接goto掉接口调用相关的逻辑

回编译，重签名。最终效果如下

破解APP可以先揣测开发的开发思路，然后通过抓包，反编译，静态分析，hook，逐步理解APP运行逻辑。最终制定破解方案，修改代码，完成破解。这次又白嫖了一个vip，真香😀