前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >微信小程序《消灭病毒》辅助

微信小程序《消灭病毒》辅助

作者头像
Ms08067安全实验室
发布2019-09-24 15:42:30
2.3K0
发布2019-09-24 15:42:30
举报
文章被收录于专栏:Ms08067安全实验室

最近玩了一个比较火的微信小程序,消灭病毒。

游戏没有充值的地方,想要升级金币就得不停的看广告攒金币,刷关卡。

后来看到X宝有卖消灭病毒刷金币的,只需要用户ID号就可以,就尝试自己试试。

首先从抓包着手,我比较习惯用fiddler抓包。尝试模拟器上配置代理抓包,结果模拟器用不了。

没办法就用手机链接代理抓。

port就是安装证书时候的端口,保持手机和开fiddler的电脑在同一个网络中。查看电脑的IP地址。在手机的WiFi选项中设置代理电脑IP和端口。此时fiddler已经可以抓到手机中的http数据包了 。

如果需要抓https的数据包,还需要在手机浏览器中输入 " IP地址:8888 "

选择第二个 ,点击下载证书,然后安装好证书就可以抓https的数据包了。

进入正题

用手机抓包,抓到微信进入小程序后的数据包。

分析得出这个包是向服务器提交用户数据的数据包,其中有本地储存的用户信息,包括关卡,金币,砖石,体力等数据。一起发送给服务器了。其中的sign参数判断是用来校验合法性的,uid就是用户ID判断某宝的刷金币点就是在这里。尝试直接重放数据包更改用户ID发现服务器验证并没有通过,猜测数据经过加密放在sign参数中校验。需要找到加密sign的算法。

首先反编译小程序

找到疑似sign加密的算法

这个js看的有点绕,实在不确定是那一块进行的sign加密,就把疑似的地方dump下来直接去验证。

最后找到sign的加密算法。可以看到是用提交数据的全部内容+openid+wx_appid(这个可以不变)+wx_secret(也可以不变)生成的新sign,然后通过post请求 带上原来的数据,加上生成的sign发送出去。尝试发送,返回code:0表示成功了。

之后删除小程序 ,重新进入小程序 ,发现数据已经刷上了(为的是防止本地有数据默认进入小程序前提交到服务器,就会覆盖掉已经刷好的数据)

至此已经实现了想要的目的。

作者:WHITE

来源:Ms08067安全实验室

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-04-18,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Ms08067安全实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云开发 CloudBase
云开发(Tencent CloudBase,TCB)是腾讯云提供的云原生一体化开发环境和工具平台,为200万+企业和开发者提供高可用、自动弹性扩缩的后端云服务,可用于云端一体化开发多种端应用(小程序、公众号、Web 应用等),避免了应用开发过程中繁琐的服务器搭建及运维,开发者可以专注于业务逻辑的实现,开发门槛更低,效率更高。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档