漏洞的主要切入点 “工程模式” 找到工程模式apk
OPPO：#36446337#。
华为：##121314##*

adb shell
cd /system/app/OppoEngineerMode/
//退出 shell
exit

//控制台 导出APK文件
adb pull /system/app/OppoEngineerMode/OppoEngineerMode.apk
//apktool 查看 manifest.xml
apktool d OppoEngineerMode.apk

注：apktool 不只可以查看manifest.xml，还可以看smali源码，使用sublime text2高亮查看，教程地址：https://www.jianshu.com/p/5fb93a270ad0

在 manifest.xml中可以找到关键代码

<activity android:configChanges="orientation|screenSize" android:name="com.oppo.autotest.lcd.LcdColorTestActivity" android:screenOrientation="portrait">
            <intent-filter>
                <action android:name="com.oppo.autotest.lcdcolortest.start"/>
                <category android:name="android.intent.category.DEFAULT"/>
            </intent-filter>
        </activity>

查看此类源码用到两个工具，dex2jar-2.1与jd-gui-osx-1.4.0；要注意的是 dex2jar版本不能过低，目前发现2.0不可用。
先解压OppoEngineerMode.apk

unzip OppoEngineerMode.apk所在路径 -d 解压到的文件夹路径
//取出classes.dex文件 使用dex2jar-2.1工具得到classes-dex2jar.jar
sh d2j-dex2jar.sh classes.dex -f

这样就可以使用jd-gui-osx-1.4.0查看JAR代码,找到manifest.xml中对应的类路径

image.png

读完代码找到关键代码 :goToSleep。想办法执行到此代码进行反推

首先 paramInt1 == 7 而这个参数源于showColow方法。而这个方法在class文件中却找不到调用处，不过 有一点有些可疑-wrap0是什么？如下

private BroadcastReceiver mReceiver = new BroadcastReceiver()
...
    LcdColorTestActivity.-wrap0(LcdColorTestActivity.this, j, i);

除了看JAR代码，还有可以看smali代码，最终使用sublime text2代码(教程:https://www.jianshu.com/p/5fb93a270ad0]https://www.jianshu.com/p/5fb93a270ad0) 代码如下：

# direct methods
.method static synthetic -wrap0(Lcom/oppo/autotest/lcd/LcdColorTestActivity;II)V
    .locals 0
    .param p0, "-this"    # Lcom/oppo/autotest/lcd/LcdColorTestActivity;
    .param p1, "type"    # I
    .param p2, "color"    # I

    .prologue
    invoke-direct {p0, p1, p2}, Lcom/oppo/autotest/lcd/LcdColorTestActivity;->showColow(II)V

    return-void
.end method

这也是门语言，具体不在这里记述，可看如下学习：https://segmentfault.com/a/1190000011746970
至少通过以上samli代码知道wrap0与color和type有关，回到class文件中，也只有color_type关键字可以尝试，最终得到 action:com.oppo.autotest.lcdcolortest 并且 color_type = 7时 净会被执行goToSleep方法。

继续反推，因为这个ACTION属于页面级注册，需要先启动此activity才能接收到action，所以 代码又需要产生几行 如下

        String pkg = "com.oppo.engineermode";
        String claz = "com.oppo.autotest.lcd.LcdColorTestActivity";
        try {
            Intent intent = new Intent();
            ComponentName cp = new ComponentName(pkg, claz);
            intent.setComponent(cp);
            intent.setAction(Intent.ACTION_VIEW);
            startActivity(intent);
        } catch (Exception ex) {
            ex.printStackTrace();
        }

执行上面两行代码后 发现并无效果，屏幕只是黑了，但并未真正锁屏，通知栏还能下拉，背光灯还亮着，回过头来再想，是因为代码分析的不对吗？

非也，是因为注册是异步的，执行注册后立即执行发送广播未必能收得到 所以这里尝试注册后加延时600ms 再发送广播。成功了。

......

然而 解锁后 竟然会自动又锁屏，再一细看 并非锁屏，而是黑色未真正锁屏的状态，与执行startactivity的情景一样，回来再看class代码，发现竟然有 关闭activity的ACTION

      if ("com.oppo.autotest.lcdcolortest.stop".equals(paramAnonymousContext)) {
        LcdColorTestActivity.this.finish();
      }

试着发送此广播，在 “com.oppo.autotest.lcdcolortest” 之后 ，这次连贯了。就此完成

总结：找漏洞是个慢工，细活，发现一点点可疑要多思考，多尝试，不能怕麻烦，也不要因为多次尝次给自己绕蒙了，时刻撑握好思路线。