怎么得到微信搖一搖一等獎(jiǎng) 入侵滲透作弊介紹

最近參加了一個(gè)夜跑活動(dòng),活動(dòng)結(jié)束后到終點(diǎn)掃描二維碼搖一搖,所有人都搖到了紀(jì)念獎(jiǎng)??墒俏蚁胍坏泉?jiǎng)啊!誰不想在搖一搖里得到一等獎(jiǎng)?一起來看看下面這位黑客的做法,能給你帶來什么啟發(fā),或者應(yīng)該怎樣防御這樣的攻擊。
起因:公司年會(huì)活動(dòng),[微信搖一搖],第一者給予xxx獎(jiǎng)勵(lì)。
流程:微信公眾號關(guān)注,回復(fù)搖一搖文字返回連接地址,點(diǎn)擊連接地址進(jìn)入活動(dòng),后臺開啟活動(dòng)后玩家開始搖。
分析:
1.微信搖一搖活動(dòng)是第三方開發(fā)的應(yīng)用,微信公眾后臺進(jìn)行綁定。(已知是上海某家平臺)
2.暫不知道原理,要通過抓包進(jìn)行分析。
過程:
1.手機(jī)代理:簡單描述下過程。手機(jī)連接wifi代理到電腦,電腦要和wifi在同網(wǎng)絡(luò)。 也可以電腦開熱點(diǎn),然后監(jiān)聽熱點(diǎn)截取封包。
2.本地抓包工具:fiddler我喜歡用它。端口監(jiān)聽要和手機(jī)代理填寫的一致
3.準(zhǔn)備完成后開始關(guān)注公眾號,發(fā)送搖一搖,返回連接地址。
抓取到第三方平臺連接地址。
過程大概如下,先授權(quán)登錄。get參數(shù)。 token是唯一的,是公眾賬號唯一標(biāo)識
通過搖一搖發(fā)現(xiàn)活動(dòng)是基于post請求來達(dá)到次數(shù)的記錄看圖。 (搖取一次就會(huì)記錄保存一次,當(dāng)搖取到指定次數(shù),活動(dòng)結(jié)束,評選出第一名)
其中openid是唯一的,也是用戶標(biāo)識。經(jīng)過與其他人的對比發(fā)現(xiàn),變量只有這個(gè)。更加確定這就是我唯一的標(biāo)識。下面的totalscore參數(shù)就是總次數(shù)。
通過fiddler工具的重放攻擊,達(dá)到了想要的效果。
近一步測試確定了效果,也分析了該活動(dòng)的玩法原理(一天280元)。
唯一id和唯一標(biāo)識都不變,每次只需要重放post的包就可以。
為此我專門截取了這次的封包(我和朋友的)在活動(dòng)的時(shí)候進(jìn)行重放攻擊。獲得了第一名,在分析的過程中發(fā)現(xiàn)了漏洞。
搖一搖的過程中可以查看排名,通過抓包看出get請求的參數(shù)。
大概意思:m=活動(dòng)標(biāo)識 a=請求內(nèi)容 token=微信公眾號標(biāo)識 openid=玩家id。
再次攔截修改了微信公眾標(biāo)識發(fā)現(xiàn)返回信息報(bào)錯(cuò)(顯錯(cuò)注入)
用瀏覽器近一步查看出現(xiàn):請您在微信瀏覽器中打開
突破非常簡單,還是看抓包的請求頭,USER-Agent
復(fù)制一份火狐瀏覽器偽造一下就好了。
直接爆除了sql語句和路徑。
F:\websoft\web\sXXe_guanwang\Common\runtime.php
用了windows免py環(huán)境的sqlmap不好用,去官方下載了一份sqlmap。裝了環(huán)境跑了一下。
找到了官方網(wǎng)站,發(fā)現(xiàn)是基于小豬那樣的框架開發(fā)了,隨手admin.php。跳轉(zhuǎn)了后臺。
找了下密碼登錄進(jìn)去看了下,后臺好破,不過好像不是那個(gè)后臺。
用其他工具跑呢root的密碼解不出來。掃描了一下端口發(fā)現(xiàn)8080
phpmyadmin 由于解不出來密碼無法登錄,寫不了shell。翻了翻庫,亂七八糟的。阿里云的主機(jī)。
mysql沒有開啟外聯(lián),無法hash登錄。也沒心情繼續(xù)下去了。
其實(shí)此次并沒有攻擊的目的,而是為了分析原理和拿到第一才弄的。同時(shí)把這個(gè)搖一搖的實(shí)現(xiàn)過程分享給大家,一天是208元,目前有1770個(gè)會(huì)員。大家猜呢。這是商機(jī)呀。
由于在比賽過程中被發(fā)現(xiàn)作弊,現(xiàn)在已經(jīng)取消了我的排名。 人家才搖一下我直接80下了,沒有合理安排攻擊過程,導(dǎo)致全體員工質(zhì)疑。
要知道我在的可是互聯(lián)網(wǎng)公司,那一個(gè)屋子的程序員都不是吃白飯的,以后記得,如果年會(huì)搖一搖一等獎(jiǎng)被程序員得了,就要懷疑他是不是作弊。
相關(guān)文章
怎么用Fuzz技術(shù)巧妙的挖掘Android漏洞?Android漏洞該如何防御?
Android系統(tǒng)服務(wù)即由Android提供的各種服務(wù),比如WIFI,多媒體,短信等等,幾乎所有的Android應(yīng)用都要使用到系統(tǒng)服務(wù)。系統(tǒng)服務(wù)在為用戶提供便利的同時(shí),也存在著一些風(fēng)險(xiǎn)2017-03-14- 通過電池在特定時(shí)間內(nèi)的消耗對手機(jī)用戶的物理位置進(jìn)行定位,他們把這種追蹤方法命名為PowerSpy,準(zhǔn)確度高達(dá)90%,PowerSpy利用了蜂窩傳輸服務(wù)塔消耗電量速度的不同這一點(diǎn),2016-08-08
- 如何保護(hù)手機(jī)安全,我今天想和大家分享一下,希望讓這些可惡的病毒,再也不能危害到大家,我總結(jié)了5個(gè)方面,今天和大家分享一下希望有所幫助吧2016-08-03
- 最近參加了一個(gè)夜跑活動(dòng),活動(dòng)結(jié)束后到終點(diǎn)掃描二維碼搖一搖,所有人都搖到了紀(jì)念獎(jiǎng)。可是我想要一等獎(jiǎng)??!誰不想在搖一搖里得到一等獎(jiǎng)?一起來看看下面這位黑客的做法,能2016-07-23
你看到的APP排行不一定是真的 揭秘手機(jī)軟件惡意刷榜推廣
當(dāng)你打開應(yīng)用市場想要下載一個(gè)功能性的APP,搜索結(jié)果出來后是不是都要看一下旁邊的下載量?有時(shí)候還會(huì)看一下用戶評論,那么,下載量大的就是好的嗎?真的大家都在下嗎?今2016-07-13精靈寶可夢go游戲可能存在風(fēng)險(xiǎn) 軟件需要google賬號完整權(quán)限
《Pokémon Go》是任天堂 Pokémon(中譯名口袋妖怪、寵物小精靈、精靈寶可夢)系列目前最火的游戲,可是這款游戲在國外網(wǎng)友眼中手機(jī)上要的權(quán)限未免過大了,我想這篇文章你2016-07-12手機(jī)短信驗(yàn)證碼安全嗎 警惕手機(jī)短信木馬
現(xiàn)在想換個(gè)手機(jī)越來越麻煩,很多APP要重新下,手機(jī)里保存的寶貝也要轉(zhuǎn)移,有時(shí)候這些事情甚至讓我放棄了換個(gè)更好的手機(jī)的想發(fā),更不用說換手機(jī)號了。各種網(wǎng)站、郵箱、賬號2016-07-11有了短信驗(yàn)證你的錢到底是怎么被強(qiáng)刷走的 警惕手機(jī)木馬
本以為有了手機(jī)短信驗(yàn)證應(yīng)該很安全了,沒想到銀行卡里的錢還是能被刷走,關(guān)鍵是一條短信都沒收到。到底是怎么回事?原來是手機(jī)木馬搞得鬼,很多奇怪的第三方軟件作為木馬攔2016-06-13手機(jī)里的信息到底安不安全?手機(jī)數(shù)據(jù)泄露大揭秘
如果你給自己的手機(jī)設(shè)置了PIN碼,甚至忘記了連自己也解不開;又或者設(shè)置了比劃甚至指紋解鎖,然后以為這樣的手機(jī)就是安全的了。是的,對于一般的人來說算安全了,可是對于2016-06-03怎樣利用架構(gòu)廉價(jià)的追蹤網(wǎng)絡(luò)中的入侵者
在缺乏大量預(yù)算的前提下要怎樣追蹤網(wǎng)絡(luò)入侵者?這里有一個(gè)廉價(jià)的解決辦法:一旦架構(gòu)建立并且數(shù)據(jù)開始收集,網(wǎng)絡(luò)防御者可以在這些被動(dòng)DNS數(shù)據(jù)上執(zhí)行大范圍的分析來追蹤網(wǎng)絡(luò)2016-06-01