最近參加了一個(gè)夜跑活動(dòng)，活動(dòng)結(jié)束后到終點(diǎn)掃描二維碼搖一搖，所有人都搖到了紀(jì)念獎(jiǎng)?？墒俏蚁胍坏泉?jiǎng)??！誰(shuí)不想在搖一搖里得到一等獎(jiǎng)？一起來(lái)看看下面這位黑客的做法，能給你帶來(lái)什么啟發(fā)，或者應(yīng)該怎樣防御這樣的攻擊。

起因：公司年會(huì)活動(dòng)，[微信搖一搖]，第一者給予xxx獎(jiǎng)勵(lì)。

流程:微信公眾號(hào)關(guān)注，回復(fù)搖一搖文字返回連接地址，點(diǎn)擊連接地址進(jìn)入活動(dòng)，后臺(tái)開(kāi)啟活動(dòng)后玩家開(kāi)始搖。

分析：

1.微信搖一搖活動(dòng)是第三方開(kāi)發(fā)的應(yīng)用，微信公眾后臺(tái)進(jìn)行綁定。(已知是上海某家平臺(tái))

2.暫不知道原理，要通過(guò)抓包進(jìn)行分析。

過(guò)程：

1.手機(jī)代理：簡(jiǎn)單描述下過(guò)程。手機(jī)連接wifi代理到電腦，電腦要和wifi在同網(wǎng)絡(luò)。 也可以電腦開(kāi)熱點(diǎn)，然后監(jiān)聽(tīng)熱點(diǎn)截取封包。

2.本地抓包工具：fiddler我喜歡用它。端口監(jiān)聽(tīng)要和手機(jī)代理填寫(xiě)的一致

3.準(zhǔn)備完成后開(kāi)始關(guān)注公眾號(hào)，發(fā)送搖一搖，返回連接地址。

　　抓取到第三方平臺(tái)連接地址。

　　過(guò)程大概如下，先授權(quán)登錄。get參數(shù)。 token是唯一的，是公眾賬號(hào)唯一標(biāo)識(shí)

　　通過(guò)搖一搖發(fā)現(xiàn)活動(dòng)是基于post請(qǐng)求來(lái)達(dá)到次數(shù)的記錄看圖。 (搖取一次就會(huì)記錄保存一次，當(dāng)搖取到指定次數(shù)，活動(dòng)結(jié)束，評(píng)選出第一名)

　　其中openid是唯一的，也是用戶標(biāo)識(shí)。經(jīng)過(guò)與其他人的對(duì)比發(fā)現(xiàn)，變量只有這個(gè)。更加確定這就是我唯一的標(biāo)識(shí)。下面的totalscore參數(shù)就是總次數(shù)。

　　通過(guò)fiddler工具的重放攻擊，達(dá)到了想要的效果。

　　近一步測(cè)試確定了效果，也分析了該活動(dòng)的玩法原理(一天280元)。

　　唯一id和唯一標(biāo)識(shí)都不變，每次只需要重放post的包就可以。

　　為此我專門(mén)截取了這次的封包(我和朋友的)在活動(dòng)的時(shí)候進(jìn)行重放攻擊。獲得了第一名，在分析的過(guò)程中發(fā)現(xiàn)了漏洞。

　　搖一搖的過(guò)程中可以查看排名，通過(guò)抓包看出get請(qǐng)求的參數(shù)。

　　大概意思：m=活動(dòng)標(biāo)識(shí) a=請(qǐng)求內(nèi)容 token=微信公眾號(hào)標(biāo)識(shí) openid=玩家id。

　　再次攔截修改了微信公眾標(biāo)識(shí)發(fā)現(xiàn)返回信息報(bào)錯(cuò)(顯錯(cuò)注入)

　　用瀏覽器近一步查看出現(xiàn)：請(qǐng)您在微信瀏覽器中打開(kāi)

　　突破非常簡(jiǎn)單，還是看抓包的請(qǐng)求頭，USER-Agent

　　復(fù)制一份火狐瀏覽器偽造一下就好了。

　　直接爆除了sql語(yǔ)句和路徑。

　　F:\websoft\web\sXXe_guanwang\Common\runtime.php

　　用了windows免py環(huán)境的sqlmap不好用，去官方下載了一份sqlmap。裝了環(huán)境跑了一下。

　　找到了官方網(wǎng)站，發(fā)現(xiàn)是基于小豬那樣的框架開(kāi)發(fā)了，隨手admin.php。跳轉(zhuǎn)了后臺(tái)。

　　找了下密碼登錄進(jìn)去看了下，后臺(tái)好破，不過(guò)好像不是那個(gè)后臺(tái)。

　　用其他工具跑呢root的密碼解不出來(lái)。掃描了一下端口發(fā)現(xiàn)8080

　　phpmyadmin 由于解不出來(lái)密碼無(wú)法登錄，寫(xiě)不了shell。翻了翻庫(kù)，亂七八糟的。阿里云的主機(jī)。

　　mysql沒(méi)有開(kāi)啟外聯(lián)，無(wú)法hash登錄。也沒(méi)心情繼續(xù)下去了。

　　其實(shí)此次并沒(méi)有攻擊的目的，而是為了分析原理和拿到第一才弄的。同時(shí)把這個(gè)搖一搖的實(shí)現(xiàn)過(guò)程分享給大家，一天是208元，目前有1770個(gè)會(huì)員。大家猜呢。這是商機(jī)呀。

　　由于在比賽過(guò)程中被發(fā)現(xiàn)作弊，現(xiàn)在已經(jīng)取消了我的排名。 人家才搖一下我直接80下了，沒(méi)有合理安排攻擊過(guò)程，導(dǎo)致全體員工質(zhì)疑。

　　要知道我在的可是互聯(lián)網(wǎng)公司，那一個(gè)屋子的程序員都不是吃白飯的，以后記得，如果年會(huì)搖一搖一等獎(jiǎng)被程序員得了，就要懷疑他是不是作弊。

最新評(píng)論