利用Charles和FD巧妙改微信小程序“消灭病毒”无限邀请
用到的工具:【Charles】和【Fiddler】没有的朋友站内搜索。不知道软件干嘛用的可以先行退下。适用的游戏:微信搜索”消灭病毒“(还不是贪玩的朋友一直叨叨要我看看这个游戏)
放在最后说的话挪到了前面:改这个被某宝拿去卖,看销量还不错。真搞不懂一个打飞机的游戏还有这么多人花钱买?
站内的朋友就别效仿了,丢了品格。
https://static.52pojie.cn/static/image/hrline/1.gif
https://static.52pojie.cn/static/image/hrline/line1.png
屁话说完了,来简单的抓包分析。
WiFi改代{过}{滤}理链接到电脑,打开Charles,FD同上。(关于证书,怎么连接,怎么抓HTTPS,请自行百度。)
打开微信小程序:如图:
得到一堆链接,一顿分析,检查了几个get、upload、login(关于其他数据,文末说)
找到一个比较容易入手的关键词:invit
检查这个get文件,得出两个邀请数据,我之前邀请的。
这个json里面除了state参数,别的基本没改头。
来测试修改state参数,尝试修改成:1试试。
把改好的数据额外保存一份,然后本地映射。
进入游戏,点开邀请,果不其然,之前领取过的钻石,还可以再领取。
如图:
注意看顶部钻石数量,点领取之后再点开邀请界面。
如图:
这里贴出js代码,可自行修改。
{"data":{"infos":[{"nickname":"Harry。","sex":1,"state":1,"avatar":"https:\/\/wx.qlogo.cn\/mmopen\/vi_32\/8udden1kRL4giajiaeIWZFQAM30WhUiagZupU8kPmr8HnkOdOJFBB7jLdsCibhjYdNxaEpnfibQaMj090S47tlWg4dA\/132","openid":"oc6rl5U1zIGV9y0beSrZxV1d2eyM","address":"China.Hunan.Changsha"},{"nickname":"","sex":0,"state":1,"avatar":"","openid":"oc6rl5aB7-J2z2_h8IykEtHl_leY","address":""}]},"code":0}
以上测试得知state参数为1的时候,是可以领取。为2的时候,是已领取。通过修改参数可以无限制的领取钻石。
(上面邀请人数,可以自己增加。看代码格式添加即可。提示:openid可以重复,修改nickname参数即可。)
https://static.52pojie.cn/static/image/hrline/1.gif
写在最后的话,如果你有精力,有能力,得到sign可以修改上面任何数据。
如果你成功了,可以跟帖分享经验。
自行测试吧。思路已经给出。
码字不容易,且看且珍惜。
moonfish1994 发表于 2019-3-13 14:00
嗨你好,下面链接是我自己博客的,我现在能修改自己的数据,源码里有两个加密的方法,目前我就找到了一个, ...
嗯,看完了你写的记录,还是很不错。但是吧。。看不懂。虽然说知道一些思路,但是对技术一窍不通。所以我才通过上面的方法简单的修改邀请一些东西。在准备进阶的时候,由于技术有限,也不知道怎么反编译。所以。。。不能给你提供帮助或者有用的信息。哈哈,抱歉。 Celery 发表于 2019-3-18 16:48
请问我手机安装了证书之后,还是抓不到信息是咋回事啊?百度的都试过了,还是不行~~~
大佬,我现在也出现了这种情况,求问当初是怎么解决的。
我之前的电脑配置什么的手机证书安装上就可以用了,现在换了个电脑,手机没换,证书安装上却不能用了,抓包都是unkown。 关于FD,同理。在FD里面添加一条规则即可。这是最基本的功能使用。 温馨提示:手机代{过}{滤}理别忘了关,否则会出现一系列莫名其妙的问题。比如打不开网页,刷不了图片。 感谢楼主分享, 我靠,终于可以让沙雕朋友不再发这个邀请的鬼东西给我了。 厉害。。以前真的应该好好学习软件。 Charles和fiddler是神器,确实好用!!! 楼主厉害了 谢谢分享,看看