小伙被代刷网骗巨款（15块），一怒之下写出注册机，为代刷网新添5000用户。

yeyeyeping · 发表于 2020-7-22 21:47

本帖最后由 yeyeyeping 于 2020-7-24 06:20 编辑

楼主穷大学生，实在太馋拼多多的100元助力红包，而亲朋好友又被压榨的一滴都不剩了，无奈之下去某代刷网下单（15元助力200次），结果付款后几天没有反应，本就贫困的家庭更加雪上加霜了，正好在学post，就突发奇想写个注册机，下面是我post逆向分析某代刷网的一些过程，由于接触post不久，所以有纰漏的地方，请大佬多指教。首先用浏览器抓出完整注册流程的包，发现最后提交注册信息是只有一个参数hashsalt未知，其他都是我们填的信息没有加密。
然后具体分析：
刚开始我用火狐、谷歌抓包分析cookie是有问题的，由于代刷网比较简单，账号密码没有js加密，所以我先用FD配合IE来抓包分析cookies，FD的配置论坛都有在这里就不多说了。下面看抓包结果：
QQ截图20200722200811.png

敲重点！！！！敲重点！！！！敲重点！！！！抓包之前一定要清除缓存、清除cookie！！否则你根本不知道cookie是怎么设置的！！！！
可以看到所有包中有两个都访问http://www.q7p.cn/user/reg.php ，这并不是我刷新的原因，而且只有你第一次访问这个网站，会出现两次，所以我强调要清楚cookie在抓包

这是第一个包，请求中并没有cookie，而响应中设置了一个cookie（PHPSESSID）。

这是第二个包，这次请求他带上了cookie，并且带上的cookie中前半部分是第一次访问所设置的，后半部分(sec_defend,sec_defend_time)不知道从哪来的，记清楚，第二次请求的cookie我们只知道PHPSESSID（第一次请求在响应中设置），后面要分析这个sec_defend，sec_defend_time。在响应中又设置了一个cookie（mysid）
下面我们要找sec_defend和sec_defend_time的来源，先试试直接在第一次响应的结果中搜索，发现就在第一次访问的响应中，就是这一堆[]()，起初我以为这是乱码，但查阅资料后我知道这是jsfuck，也是js加密的一种，需要用V8引擎来运行就可以直接解密，（后面我打包了需要的工具以及注册例子），所以简单了，直接用变量储存第一次响应返回的结果，对其进行分割提取sec_defend，关于sec_defend_time我多次实现抓包发现都是1，所以直接写死，没有问题。

所以我们现在已经可以模拟第一次，第二次请求了，第一次直接访问，然后把返回的cookie和返回的文本中处理过后的sec_defend、sec_defend_time合并成新的cookie，带上它在访问一次 http://www.q7p.cn/user/reg.php，用变量存储返回文本，在返回文本中搜一下刚开始时说的hashsalt，发现他的确在这，同样有一堆[](),以获取sec_defend同样的方法，获取hashsalt，易语言就已经自动合并更新了cookie，到这里也就解决一大半了。
FD没有抓到验证码的包，可能我电脑有问题，于是我换谷歌抓了一次完整注册的包，发中间的css，js，gif，咱们不用管，其实注册过程其实是先请求获取验证码（带上咱们搞好的cookie），然后通过POST方式提交账号验证码qq信息（带上咱们搞好的cookie），

然后按照思路写就行了：1.第一次请求http://www.q7p.cn/user/reg.php，保存设置的cookies，返回文本，处理返回文本，组成新cookie（PHPSESSID=; sec_defend=; sec_defend_time=1）
                                       2.带上新cookie再次访问http://www.q7p.cn/user/reg.php，处理hashsalt，由于我用的是易语言，第二次访问直接合并更新了cookie，其他语言我接触不多，自己处理吧。
                                       3.获取带上新cookie获取验证码
                                       4.带上cookie以post形式提交注册信息以及hashsalt，完成注册。
最后，以楼主惨痛教训再次提醒大家不要贪图小便宜！！！！！
以上只是提供逆向分析思路，注册例程可以根据这个思路来写，楼主用易语言写的例程和所需模块也已经上传打包，欢迎萌新来研究学习，也请大佬多批评指责，另外，需要该网站注册机源码的也可以留言。如果大家对post逆向感兴趣的话在考虑更一期青果教务系统的js加密逆向分析。
QQ截图20200723171521.png

多线程注册机（已经接入免费验证码识别）源码已上传，欢迎交流学习。

张小虎 · 发表于 2020-7-23 18:03

被坑激发了楼主无限潜力啊

甘蔗 · 发表于 2020-7-23 16:16

亲朋好友又被压榨的一滴都不剩了

勿复相思 · 发表于 2020-7-23 15:54

不是很明白这个是干嘛的

第八根电线杆 · 发表于 2020-7-23 16:09

呵呵亲朋好友被榨干也是醉了

sooboo · 发表于 2020-7-23 16:11

拼多多挺香的，和我老婆撸了700哈哈

oOoOo0O0oOoOo · 发表于 2020-7-23 18:04

惹不起惹不起，现在就去拉黑IP

Jien · 发表于 2020-12-7 16:07

建议标题改成网瘾少年被网络诈骗一怒之下竟然做出了这样惨无人道的事...

阿凡达_007 · 发表于 2020-7-23 15:56

这个没啥用,你先看清楚,这个代刷网是不是对方开的,如果是他的话,可以收拾下他的站

昔日忐忑 · 发表于 2020-7-23 15:47

惹不起惹不起

duke鹏 · 发表于 2020-7-23 15:47

慢慢进入js逆向，很有意思的。

白小白a · 发表于 2020-7-23 15:57

勿复相思发表于 2020-7-23 15:54
不是很明白这个是干嘛的

平多多助力砍一刀

vocaso · 发表于 2020-7-23 16:02

这个注册页面有没验证码之类的嘛？

羽陆 · 发表于 2020-7-23 16:07

不错不错

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 小伙被代刷网骗巨款（15块），一怒之下写出注册机，为代刷网新添5000用户。

点评

免费评分

本帖被以下淘专辑推荐: