微信跳一跳 可以直接更改分数, POST 请求没有校验… 🤪

2017-12-31 21:29:48 +08:00
bravecoder  bravecoder

这两天逛 v 站出现了一众微信跳一跳 'AI',已经被刷屏了……

大致思路都是通过计算两点距离,模拟点击起跳来方式来实现的,

可是作为不越狱的苹果党,手里又没安卓机,看着被刷屏刷榜,非常不爽啊

想着抓个包看看能不能模拟下网络请求刷分,结果 ……

发现可以直接伪造 POST 请求刷分

https://gist.github.com/feix/6dd1f62a54c5efa10f1e1c24f8efc417

91384 次点击
所在节点   分享创造  分享创造
416 条回复
mekhili
mekhili
2018-01-01 11:41:24 +08:00
可以可以,score = 2018
whwq2012
whwq2012
2018-01-01 11:58:07 +08:00
@mekhili 是抓 https://mp.weixin.qq.com/wxagame/wxagame_init 的包吗,抓了以后怎么改呢?
qq2511296
qq2511296
2018-01-01 12:13:15 +08:00
用 微信开发者工具新建小游戏 最新的微信开发者工具 mac 版 没有小游戏
cljnnn
cljnnn
2018-01-01 12:15:00 +08:00
已经成功将分数变为 2018 了,cool
pangtong
pangtong
2018-01-01 12:37:47 +08:00
我试了,的确可以下下载任何小程序的源代码。

cjyang1128
2018-01-01 12:39:20 +08:00
楼主你完了,你要收律师函了,这种东西底下沟通就行了
fe619742721
2018-01-01 12:45:54 +08:00
wxagame_settlement { base_resp: { errcode: 0, ts: '1514781867875' } }
我这好像不行。。
Deeer
2018-01-01 12:48:18 +08:00
感觉加了时间校验,直接改 post,没有效果哦
dd0754
2018-01-01 13:00:03 +08:00
楼主 666
shaonian
2018-01-01 13:04:21 +08:00
抓请求之前看看 version,刚刚试过版本已经更新到 9 了
Wolther47
2018-01-01 13:11:44 +08:00
@fe619742721 这个是 Respond,测试下来依旧可行

更加关心能够拿到小程序源代码,这个估计有新的姿势
ErnieSauce
2018-01-01 13:14:52 +08:00
@idisreg 请问 http://123.125.9.32/resstatic.servicewechat.com/ 这两个地方需要改动吗?如果需要怎么获取,对应的是什么?谢谢
564425833
2018-01-01 13:18:25 +08:00
已撸,谢谢楼主
fe619742721
2018-01-01 13:21:56 +08:00
@Wolther47 额,我这边排行榜数据没有更新。。。
pangtong
2018-01-01 13:33:49 +08:00
@ErnieSauce 这两个地方不需要改动, 你看楼主写的,他写的很清楚,通过抓包得到小程序的 APPid 和 版本号 通过上面的网址这个网址构造即可。
下面贴一下楼主写的。
### 如何下载小程序源代码
```bash
wget http://123.125.9.32/resstatic.servicewechat.com/weapp/release/{appid}/{version_num}.wxapkg
```

{appid} 为小程序码, {version_num} 为 版本号,示例:
http://123.125.9.32/resstatic.servicewechat.com/weapp/release/wx7c8d593b2c3a7703/3.wxapkg
qiayue
2018-01-01 13:34:43 +08:00
经过测试,现在已经无法直接下载了
Deeer
2018-01-01 13:39:07 +08:00
可以啊,刚下好
Deeer
2018-01-01 13:40:37 +08:00
为什么解压出来,项目报错说没有 app.json
VShawn
2018-01-01 13:45:52 +08:00
为什么要想尽办法去作弊?
Wolther47
2018-01-01 13:46:48 +08:00
@fe619742721 是的,似乎数据更新有延迟,不知道是不是证书的问题

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/419056

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX