微信跳一跳 可以直接更改分数, POST 请求没有校验… 🤪

2017-12-31 21:29:48 +08:00
 bravecoder

这两天逛 v 站出现了一众微信跳一跳 'AI',已经被刷屏了……

大致思路都是通过计算两点距离,模拟点击起跳来方式来实现的,

可是作为不越狱的苹果党,手里又没安卓机,看着被刷屏刷榜,非常不爽啊

想着抓个包看看能不能模拟下网络请求刷分,结果 ……

发现可以直接伪造 POST 请求刷分

https://gist.github.com/feix/6dd1f62a54c5efa10f1e1c24f8efc417

90896 次点击
所在节点    分享创造
416 条回复
lhx2008
2017-12-31 21:39:46 +08:00
只能刷到 999
bravecoder
2017-12-31 21:40:40 +08:00
@lhx2008 还没找到为啥被限制了 ……
Kahnn
2017-12-31 21:42:05 +08:00
怎么抓包拿到 sesseion_id
mochanight
2017-12-31 21:42:15 +08:00
我抓了看到是加密的阿。。。。
dd0754
2017-12-31 21:46:20 +08:00
666
bravecoder
2017-12-31 21:56:19 +08:00
@Kahnn 更新了抓包说明
https://gist.github.com/feix/6dd1f62a54c5efa10f1e1c24f8efc417
bravecoder
2017-12-31 21:58:10 +08:00
@mochanight 只是简单加密了,二期前端代码里有加密的逻辑,关键是后端没有校验 🤪
goodbest
2017-12-31 22:02:55 +08:00
其实.....未越狱的 iOS 也可以用脚本的呀。

https://github.com/wangshub/wechat_jump_game/pull/273
https://github.com/wangshub/wechat_jump_game/issues/99
ZE3kr
2017-12-31 22:08:51 +08:00
随便拿一个支持 HTTPS 的抓包工具就行了,我用 Surge 抓的
ZE3kr
2017-12-31 22:10:33 +08:00
我估计微信有设置游戏时长小于一定时间不能到 1000 以上吧
mayowwwww
2017-12-31 22:58:09 +08:00
难怪我之前改 1 万分以上都没成功过,待会试试。
Tink
2017-12-31 23:30:10 +08:00
为啥我抓不到 servicewechat.com 的请求
chainchan
2017-12-31 23:36:26 +08:00
试了下不行, {u'base_resp': {u'errcode': 108}}
怀疑是 action_data 不完整
crab
2018-01-01 00:02:15 +08:00
跪了。pycrypto python3.5 vs2017
ZE3kr
2018-01-01 00:07:28 +08:00
现在好像不行了
star1cjl
2018-01-01 00:12:38 +08:00
我是失败了
bravecoder
2018-01-01 00:14:04 +08:00
@crab 我是拿 python2 跑的……,python3 加解密要处理下转换 bytes ⇌ string
ZE3kr
2018-01-01 00:16:00 +08:00
@bravecoder 之前可以,现在一直不行了,你 2018 之后成功过么
bravecoder
2018-01-01 00:21:42 +08:00
@ZE3kr 好像是微信服务器有问题? 503 了……
ZE3kr
2018-01-01 00:23:56 +08:00
@bravecoder referrer 变成了 https://servicewechat.com/wx7c8d593b2c3a7703/4/page-frame.html,然而改完代码后也没用

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/419056

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX