站长网_站长创业_站长主页_站长之家_易采站长站

会员投稿 投稿指南 站长资讯通告: 怎么得到微信摇一摇一等奖 入侵渗透作弊介绍
搜索:
您的位置: 主页 > 教程 > 电脑安全 > 手机安全 > » 正文

怎么得到微信摇一摇一等奖 入侵渗透作弊介绍

来源: 易采站长站

最近参加了一个夜跑活动,活动结束后到终点扫描二维码摇一摇,所有人都摇到了纪念奖。可是我想要一等奖啊!谁不想在摇一摇里得到一等奖?一起来看看下面这位黑客的做法,能给你带来什么启发,或者应该怎样防御这样的攻击。

起因:公司年会活动,[微信摇一摇],第一者给予xxx奖励。

流程:微信公众号关注,回复摇一摇文字返回连接地址,点击连接地址进入活动,后台开启活动后玩家开始摇。

分析:

1.微信摇一摇活动是第三方开发的应用,微信公众后台进行绑定。(已知是上海某家平台)

2.暂不知道原理,要通过抓包进行分析。

过程:

1.手机代理:简单描述下过程。手机连接wifi代理到电脑,电脑要和wifi在同网络。 也可以电脑开热点,然后监听热点截取封包。

2.本地抓包工具:fiddler我喜欢用它。端口监听要和手机代理填写的一致

3.准备完成后开始关注公众号,发送摇一摇,返回连接地址。

  抓取到第三方平台连接地址。

  过程大概如下,先授权登录。get参数。 token是唯一的,是公众账号唯一标识

  通过摇一摇发现活动是基于post请求来达到次数的记录看图。 (摇取一次就会记录保存一次,当摇取到指定次数,活动结束,评选出第一名)

  其中openid是唯一的,也是用户标识。经过与其他人的对比发现,变量只有这个。更加确定这就是我唯一的标识。下面的totalscore参数就是总次数。

  通过fiddler工具的重放攻击,达到了想要的效果。

  近一步测试确定了效果,也分析了该活动的玩法原理(一天280元)。

  唯一id和唯一标识都不变,每次只需要重放post的包就可以。

  为此我专门截取了这次的封包(我和朋友的)在活动的时候进行重放攻击。获得了第一名,在分析的过程中发现了漏洞。

  摇一摇的过程中可以查看排名,通过抓包看出get请求的参数。

  大概意思:m=活动标识 a=请求内容 token=微信公众号标识 openid=玩家id。

Tags:
最新图文资讯
1 2 3 4 5 6
相关文章列表:
易采站长站 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助 -