近期玩了一个较为火的小程序,消灭病毒。
手机游戏沒有在线充值的地区,要想更新金币就得不断的看广告宣传攒金币,刷副本。
之后见到莫宝有卖消灭病毒刷金币的,只必须客户ID号就可以了,就尝试自己做了下。
最先从抓包下手,我较为习惯性用fiddler抓包。尝试手机模拟器上配备代理抓包,結果手机模拟器用不了。
没法就用手机连接代理抓。
port便是安装证书情况下的端口号
维持手机上和开fiddler的计算机在同一个互联网中。查询计算机的IP地址。在手机的WiFi选择项中设定代理
计算机IP和端口号。这时fiddler早已可以抓到智能手机中的http数据包了 。
假如必须抓https的数据包,还要在浏览器中键入 " IP地址:8888 "
挑选第二个 ,立即下载资格证书,随后安裝好资格证书就可以抓https的数据包了。
进到主题
用手机抓包,抓到手机微信进到微信小程序后的数据包。
剖析得到这一包是向网络服务器递交客户信息的数据包 ,在其中有当地存储的客户信息,包含副本,金币,裸钻,精力等数据信息。一起发给网络服务器了。在其中的sign主要参数分辨是用于校检合理合法的,uid便是客户ID分辨在某宝平台的刷金币点便是在这儿。尝试立即播放数据包变更客户ID发觉网络服务器认证并没根据,猜想数据信息通过数据加密放到sign主要参数中校检。必须寻找数据加密sign的优化算法。
最先反汇编微信小程序
寻找疑是sign数据加密的优化算法
这一js看的有些绕,确实不确定性是那一块做好的sign数据加密,就把疑是的地区dump出来立即去认证
最终寻找sign的加密技术。能够看见是用递交数据信息的所有内容 openid wx_appid(这一可以不会改变) wx_secret(还可以不会改变)转化成的新sign,随后根据post请求 携带原先的数据信息,再加上转化成的sign推送出来。尝试推送。回到code:0 表明成功了 以后删掉微信小程序 ,再次进到微信小程序 ,发觉数据信息早已刷上(为了避免当地有数据信息默认设置进到微信小程序前提条件交给网络服务器,便会遮盖掉早已刷好的数据信息。)
至此早已建立了需要的目地。
创作者:black
扫码咨询与免费使用
扫码免费用
申请免费使用
在线咨询
