作弊之我是如何拿到活動一等獎的

0x01起因:公司年會活動,[微信搖一搖],第一者給予xxx獎勵。

0x02流程:微信公眾號關注,回復搖一搖文字返回連接地址,點擊連接地址進入活動,后臺開啟活動后玩家開始搖。

0x03分析:
1.微信搖一搖活動是第三方開發的應用,微信公眾后臺進行綁定。(已知是上海某家平臺)
2.暫不知道原理,要通過抓包進行分析。

0x04過程:
1.手機代理:簡單描述下過程。手機連接wifi代理到電腦,電腦要和wifi在同網絡。 也可以電腦開熱點,然后監聽熱點截取封包。

1.jpg
1a.png

2.本地抓包工具:fiddler我喜歡用它。端口監聽要和手機代理填寫的一致

2.jpg

3.準備完成后開始關注公眾號,發送搖一搖,返回連接地址。
抓取到第三方平臺連接地址。

3.png

過程大概如下,先授權登錄。get參數。??token是唯一的,是公眾賬號唯一標識

4.png
5.png

通過搖一搖發現活動是基于post請求來達到次數的記錄看圖。?(搖取一次就會記錄保存一次,當搖取到指定次數,活動結束,評選出第一名)

6.png
7.png

其中openid是唯一的,也是用戶標識。經過與其他人的對比發現,變量只有這個。更加確定這就是我唯一的標識。下面的totalscore參數就是總次數。

8.png
9.png

通過fiddler工具的重放攻擊,達到了想要的效果。
近一步測試確定了效果,也分析了該活動的玩法原理(一天280元)。
唯一id和唯一標識都不變,每次只需要重放post的包就可以。
為此我專門截取了這次的封包(我和朋友的)在活動的時候進行重放攻擊。獲得了第一名,在分析的過程中發現了漏洞。
搖一搖的過程中可以查看排名,通過抓包看出get請求的參數。

10.png

大概意思:m=活動標識??a=請求內容 token=微信公眾號標識 openid=玩家id。
再次攔截修改了微信公眾標識發現返回信息報錯(顯錯注入)

11.png

用瀏覽器近一步查看出現:請您在微信瀏覽器中打開

12.png

突破非常簡單,還是看抓包的請求頭,USER-Agent

13.png

復制一份火狐瀏覽器偽造一下就好了。
直接爆除了sql語句和路徑。
F:\websoft\web\sXXe_guanwang\Common\runtime.php
用了windows免py環境的sqlmap不好用,去官方下載了一份sqlmap。裝了環境跑了一下。

15.png

找到了官方網站,發現是基于小豬那樣的框架開發了,隨手admin.php。跳轉了后臺。
找了下密碼登錄進去看了下,后臺好破,不過好像不是那個后臺。

16.png

用其他工具跑呢root的密碼解不出來。掃描了一下端口發現8080

17.png

phpmyadmin??由于解不出來密碼無法登錄,寫不了shell。翻了翻庫,亂七八糟的。阿里云的主機。

18.png

mysql沒有開啟外聯,無法hash登錄。也沒心情繼續下去了。
其實此次并沒有攻擊的目的,而是為了分析原理和拿到第一才弄的。同時把這個搖一搖的實現過程分享給大家,一天是208元,目前有1770個會員。大家猜呢。這是商機呀。
由于在比賽過程中被發現作弊,現在已經取消了我的排名。 人家才搖一下我直接80下了,沒有合理安排攻擊過程,導致全體員工質疑。不說了我去上藥了。

【via@javexj-90sec