小技术

利用腾讯的设备验证漏洞 刷Q币啦!!! 已提交给腾讯并修复

好了 就说到这了  那个 详细的 教程 会打包分享给大家

下载地址:https://pan.baidu.com/s/1o8ZKyGq 密码:9n3d

 

首先看下图,这是腾讯动漫的app

然后轮播图上有个活动是邀请好友领取qb的

于是心想,去邀请十来个人个人够我开个会员

.

">Screenshot_2018-02-18-17-30-32-466_com.qq.ac.andr.png
然后看到下图是我自己的qq邀请的

.

">A9[BXJ_@[@`$9VH%RJIF9YK.png
但是问题来了,只是访问一个url就邀请成功了,

http://m.ac.qq.com/event/friendInvite201709/comic_518333.html?__000000000__=

我们来分析一下这个url,带问号,伪静态没错了,那么后面的是0000000是我的qq,这里做隐藏处理

他是如何判断邀请成功的呢,也没有让写邀请码,

经验告诉我,是看设备信息,mac地址等这种设备特征

那么这种东西是可以伪造的,以前接触到过

试验一下,

用到的有  

雷电安卓模拟器
应用变量
xposed installer(也就是修改设备的xp框架)
id:0123app (信息修改器)

上面几个是app
一会我打包

设置应用变量

.

">]7]KID6%H1@Q8_([Y]_L4HJ.png
.

">1U39A9UTR%{OP)2NBCH`YOU.png
设置id:0123app  (信息修改器)

.

">G~DWCW4[NH@QR17{FZB~7QC.png
一开始这是别人告诉我的,我满怀好奇心等了他的号看了下,

.

">IYOG7$I0E$PHV8]OMZ5]2FM.png
试一下根据上面说的构造链接,伪造信息去访问,是不是可以成功邀请

.

">S9~J}6JP0B[NG[}BD0AQJYS.png
上面可以看到qb差距有些大,不知道是不是我缓存还是什么原因,试了几十次到最后才看到结果,是叠加的,不过没关系,这算是到账了

但是过了两个小时,再来看,现在构造url伪造信息提交是显示服务器繁忙,可能贵公司正在修复

修复方式:

限制使用邀请码兑换,或者需要登陆才可完成邀请

 

(6)

本文由 SAFEING 极客社区 作者:root 发表,转载请注明来源!

热评文章

发表评论