最近參加了一個夜跑活動，活動結(jié)束后到終點掃描二維碼搖一搖，所有人都搖到了紀念獎?？墒俏蚁胍坏泉劙?！誰不想在搖一搖里得到一等獎？一起來看看下面這位黑客的做法，能給你帶來什么啟發(fā)，或者應(yīng)該怎樣防御這樣的攻擊。

起因：公司年會活動，[微信搖一搖]，第一者給予xxx獎勵。

流程:微信公眾號關(guān)注，回復(fù)搖一搖文字返回連接地址，點擊連接地址進入活動，后臺開啟活動后玩家開始搖。

分析：

1.微信搖一搖活動是第三方開發(fā)的應(yīng)用，微信公眾后臺進行綁定。(已知是上海某家平臺)

2.暫不知道原理，要通過抓包進行分析。

過程：

1.手機代理：簡單描述下過程。手機連接wifi代理到電腦，電腦要和wifi在同網(wǎng)絡(luò)。 也可以電腦開熱點，然后監(jiān)聽熱點截取封包。

2.本地抓包工具：fiddler我喜歡用它。端口監(jiān)聽要和手機代理填寫的一致

3.準備完成后開始關(guān)注公眾號，發(fā)送搖一搖，返回連接地址。

　　抓取到第三方平臺連接地址。

　　過程大概如下，先授權(quán)登錄。get參數(shù)。 token是唯一的，是公眾賬號唯一標識

　　通過搖一搖發(fā)現(xiàn)活動是基于post請求來達到次數(shù)的記錄看圖。 (搖取一次就會記錄保存一次，當搖取到指定次數(shù)，活動結(jié)束，評選出第一名)

　　其中openid是唯一的，也是用戶標識。經(jīng)過與其他人的對比發(fā)現(xiàn)，變量只有這個。更加確定這就是我唯一的標識。下面的totalscore參數(shù)就是總次數(shù)。

　　通過fiddler工具的重放攻擊，達到了想要的效果。

　　近一步測試確定了效果，也分析了該活動的玩法原理(一天280元)。

　　唯一id和唯一標識都不變，每次只需要重放post的包就可以。

　　為此我專門截取了這次的封包(我和朋友的)在活動的時候進行重放攻擊。獲得了第一名，在分析的過程中發(fā)現(xiàn)了漏洞。

　　搖一搖的過程中可以查看排名，通過抓包看出get請求的參數(shù)。

　　大概意思：m=活動標識 a=請求內(nèi)容 token=微信公眾號標識 openid=玩家id。

　　再次攔截修改了微信公眾標識發(fā)現(xiàn)返回信息報錯(顯錯注入)

　　用瀏覽器近一步查看出現(xiàn)：請您在微信瀏覽器中打開

　　突破非常簡單，還是看抓包的請求頭，USER-Agent

　　復(fù)制一份火狐瀏覽器偽造一下就好了。

　　直接爆除了sql語句和路徑。

　　F:\websoft\web\sXXe_guanwang\Common\runtime.php

　　用了windows免py環(huán)境的sqlmap不好用，去官方下載了一份sqlmap。裝了環(huán)境跑了一下。

　　找到了官方網(wǎng)站，發(fā)現(xiàn)是基于小豬那樣的框架開發(fā)了，隨手admin.php。跳轉(zhuǎn)了后臺。

　　找了下密碼登錄進去看了下，后臺好破，不過好像不是那個后臺。

　　用其他工具跑呢root的密碼解不出來。掃描了一下端口發(fā)現(xiàn)8080

　　phpmyadmin 由于解不出來密碼無法登錄，寫不了shell。翻了翻庫，亂七八糟的。阿里云的主機。

　　mysql沒有開啟外聯(lián)，無法hash登錄。也沒心情繼續(xù)下去了。

　　其實此次并沒有攻擊的目的，而是為了分析原理和拿到第一才弄的。同時把這個搖一搖的實現(xiàn)過程分享給大家，一天是208元，目前有1770個會員。大家猜呢。這是商機呀。

　　由于在比賽過程中被發(fā)現(xiàn)作弊，現(xiàn)在已經(jīng)取消了我的排名。 人家才搖一下我直接80下了，沒有合理安排攻擊過程，導(dǎo)致全體員工質(zhì)疑。

　　要知道我在的可是互聯(lián)網(wǎng)公司，那一個屋子的程序員都不是吃白飯的，以后記得，如果年會搖一搖一等獎被程序員得了，就要懷疑他是不是作弊。

最新評論