微信小程序《消灭病毒》辅助

释放双眼,带上耳机,听听看~!

强烈推荐—[ 中文版 ] 黑客秘笈3 (红队版)

这是《黑客秘笈-渗透测试实战指南》一书的第3版。以下会给出一个基于第2版新增的漏洞和攻击的总结。除了新的内容,本书保留了之前的版本中现今仍然可以用的攻击和技术,这是为了避免让你再去翻以前的书。除了从以前的书里提取的内容,这本书还有什么新的内容


最近玩了一个比较火的微信小程序,消灭病毒。

游戏没有充值的地方,想要升级金币就得不停的看广告攒金币,刷关卡。

后来看到X宝有卖消灭病毒刷金币的,只需要用户ID号就可以,就尝试自己试试。

首先从抓包着手,我比较习惯用fiddler抓包。尝试模拟器上配置代理抓包,结果模拟器用不了。

没办法就用手机链接代理抓。

port就是安装证书时候的端口,保持手机和开fiddler的电脑在同一个网络中。查看电脑的IP地址。在手机的WiFi选项中设置代理电脑IP和端口。此时fiddler已经可以抓到手机中的http数据包了 。

如果需要抓https的数据包,还需要在手机浏览器中输入 ” IP地址:8888  “

选择第二个 ,点击下载证书,然后安装好证书就可以抓https的数据包了。


进入正题

用手机抓包,抓到微信进入小程序后的数据包。

分析得出这个包是向服务器提交用户数据的数据包,其中有本地储存的用户信息,包括关卡,金币,砖石,体力等数据。一起发送给服务器了。其中的sign参数判断是用来校验合法性的,uid就是用户ID判断某宝的刷金币点就是在这里。尝试直接重放数据包更改用户ID发现服务器验证并没有通过,猜测数据经过加密放在sign参数中校验。需要找到加密sign的算法。


首先反编译小程序

找到疑似sign加密的算法

分块传输绕过WAF

    WAF作为一种安全产品为Web应用提供安全防护,可以增大攻击者的攻击难度和攻击成本,这一点是不容至疑的。但是,WAF并不是万能的,世界上没有任何一款安全产品可以提供100%的安全防护。由于产品的设计或实现原理,及其他问题都有可能导致攻击者可以成功绕

这个js看的有点绕,实在不确定是那一块进行的sign加密,就把疑似的地方dump下来直接去验证。

最后找到sign的加密算法。可以看到是用提交数据的全部内容+openid+wx_appid(这个可以不变)+wx_secret(也可以不变)生成的新sign,然后通过post请求 带上原来的数据,加上生成的sign发送出去。尝试发送,返回code:0表示成功了。


之后删除小程序 ,重新进入小程序 ,发现数据已经刷上了(为的是防止本地有数据默认进入小程序前提交到服务器,就会覆盖掉已经刷好的数据)

至此已经实现了想要的目的。

作者:WHITE

点这里留言~


来源:Ms08067安全实验室


往期回顾


1.APT报告探索心得–渗透角度

2.远控杂说—总有一款适合你

3.步步为营之游走于内网

界世的你当

作你的肩膀



 ms08067安全实验室

本文源自微信公众号:Ms08067安全实验室

Cobalt Strike手册-环境搭建与基本功能

0x00 简介 Cobalt Strike是一款常用于后渗透的神器,这个工具以团队作为主体,共享信息,拥有多种协议上线方式,集成了端口转发,端口扫描,socket代理,提权,钓鱼等。除去自身功能外,Cobalt Strike还利用了Metasploit和Mimikatz等其他知名工具的功能。 0x0

人已赞赏
安全工具

女王的幸福生活

2019-10-14 17:35:32

安全工具

强烈推荐---[ 中文版 ] 黑客秘笈3 (红队版)

2019-10-14 20:15:15

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索