网站 › 『脱壳破解区』 › 小伙被代刷网骗巨款（15块），一怒之下写出注册机，为代刷网新添5000用户。

yeyeyeping 发表于 2020-7-22 21:47

小伙被代刷网骗巨款（15块），一怒之下写出注册机，为代刷网新添5000用户。

本帖最后由 yeyeyeping 于 2020-7-24 06:20 编辑

楼主穷大学生，实在太馋拼多多的100元助力红包，而亲朋好友又被压榨的一滴都不剩了，无奈之下去某代刷网下单（15元助力200次），结果付款后几天没有反应，本就贫困的家庭更加雪上加霜了，正好在学post，就突发奇想写个注册机，下面是我post逆向分析某代刷网的一些过程，由于接触post不久，所以有纰漏的地方，请大佬多指教。首先用浏览器抓出完整注册流程的包，发现最后提交注册信息是只有一个参数hashsalt未知，其他都是我们填的信息没有加密。
然后具体分析：
刚开始我用火狐、谷歌抓包分析cookie是有问题的，由于代刷网比较简单，账号密码没有js加密，所以我先用FD配合IE来抓包分析cookies，FD的配置论坛都有在这里就不多说了。下面看抓包结果：

敲重点！！！！敲重点！！！！敲重点！！！！抓包之前一定要清除缓存、清除cookie！！否则你根本不知道cookie是怎么设置的！！！！
可以看到所有包中有两个都访问http://www.q7p.cn/user/reg.php ，这并不是我刷新的原因，而且只有你第一次访问这个网站，会出现两次，所以我强调要清楚cookie在抓包






这是第一个包，请求中并没有cookie，而响应中设置了一个cookie（PHPSESSID）。

这是第二个包，这次请求他带上了cookie，并且带上的cookie中前半部分是第一次访问所设置的，后半部分(sec_defend,sec_defend_time)不知道从哪来的，记清楚，第二次请求的cookie我们只知道PHPSESSID（第一次请求在响应中设置），后面要分析这个sec_defend，sec_defend_time。在响应中又设置了一个cookie（mysid）
下面我们要找sec_defend和sec_defend_time的来源，先试试直接在第一次响应的结果中搜索，发现就在第一次访问的响应中，就是这一堆[]()，起初我以为这是乱码，但查阅资料后我知道这是jsfuck，也是js加密的一种，需要用V8引擎来运行就可以直接解密，（后面我打包了需要的工具以及注册例子），所以简单了，直接用变量储存第一次响应返回的结果，对其进行分割提取sec_defend，关于sec_defend_time我多次实现抓包发现都是1，所以直接写死，没有问题。

所以我们现在已经可以模拟第一次，第二次请求了，第一次直接访问，然后把返回的cookie和返回的文本中处理过后的sec_defend、sec_defend_time合并成新的cookie，带上它在访问一次 http://www.q7p.cn/user/reg.php，用变量存储返回文本，在返回文本中搜一下刚开始时说的hashsalt，发现他的确在这，同样有一堆[](),以获取sec_defend同样的方法，获取hashsalt，易语言就已经自动合并更新了cookie，到这里也就解决一大半了。
FD没有抓到验证码的包，可能我电脑有问题，于是我换谷歌抓了一次完整注册的包，发中间的css，js，gif，咱们不用管，其实注册过程其实是先请求获取验证码（带上咱们搞好的cookie），然后通过POST方式提交账号验证码qq信息（带上咱们搞好的cookie），

然后按照思路写就行了：1.第一次请求http://www.q7p.cn/user/reg.php，保存设置的cookies，返回文本，处理返回文本，组成新cookie（PHPSESSID=; sec_defend=; sec_defend_time=1）
                                       2.带上新cookie再次访问http://www.q7p.cn/user/reg.php，处理hashsalt，由于我用的是易语言，第二次访问直接合并更新了cookie，其他语言我接触不多，自己处理吧。
                                       3.获取带上新cookie获取验证码
                                       4.带上cookie以post形式提交注册信息以及hashsalt，完成注册。
最后，以楼主惨痛教训再次提醒大家不要贪图小便宜！！！！！
以上只是提供逆向分析思路，注册例程可以根据这个思路来写，楼主用易语言写的例程和所需模块也已经上传打包，欢迎萌新来研究学习，也请大佬多批评指责，另外，需要该网站注册机源码的也可以留言。如果大家对post逆向感兴趣的话在考虑更一期青果教务系统的js加密逆向分析。


多线程注册机（已经接入免费验证码识别）源码已上传，欢迎交流学习。

张小虎 发表于 2020-7-23 18:03

被坑激发了楼主无限潜力啊

甘蔗 发表于 2020-7-23 16:16

亲朋好友又被压榨的一滴都不剩了{:1_926:}

勿复相思 发表于 2020-7-23 15:54

不是很明白这个是干嘛的

第八根电线杆 发表于 2020-7-23 16:09

呵呵亲朋好友被榨干也是醉了

sooboo 发表于 2020-7-23 16:11

拼多多挺香的，和我老婆撸了700哈哈

oOoOo0O0oOoOo 发表于 2020-7-23 18:04

惹不起惹不起，现在就去拉黑IP

Jien 发表于 2020-12-7 16:07

建议标题改成 网瘾少年被网络诈骗 一怒之下竟然做出了这样惨无人道的事...:Dweeqw

阿凡达_007 发表于 2020-7-23 15:56

这个没啥用,你先看清楚,这个代刷网是不是对方开的,如果是他的话,可以收拾下他的站

昔日忐忑 发表于 2020-7-23 15:47

惹不起惹不起

duke鹏 发表于 2020-7-23 15:47

慢慢进入js逆向，很有意思的。

白小白a 发表于 2020-7-23 15:57

勿复相思 发表于 2020-7-23 15:54
不是很明白这个是干嘛的

平多多助力砍一刀

vocaso 发表于 2020-7-23 16:02

这个注册页面有没验证码之类的嘛？

羽陆 发表于 2020-7-23 16:07

不错不错

查看完整版本: 小伙被代刷网骗巨款（15块），一怒之下写出注册机，为代刷网新添5000用户。