近期,“羊了个羊”大火,多少人因为它气恼,那么攻略这不就来了!下面带领各位新同学来以网络安全的角度来攻破“羊了个羊”,
首先我们需要使用抓包工具,通过抓包工具来了解羊了个羊前后台的交互是什么样的。
工具fiddler。下载地址:fiddler
if (oSession.url=="cat-match.easygame2021.com/sheep/v1/game/map_info_new?map_id=90017") { oSession.url = "cat-match.easygame2021.com/sheep/v1/game/map_info_new?map_id=80001"; }
看到这里大家可能觉得重放要等太久,那么下面还有一种方法直接让你登顶朋友圈第一 经过不断测试,发现羊了个羊历史排行榜那块的交互逻辑是有缺陷的,他先从后台数据库拿到用户数据,然后放到前端里,之后还会做一次同步,并没有进行检验,由此我们可以通过修改他的第一次获取数据的响应包,然后后面的同步操作就会将数据同步到数据库上
我们利用burpsuit + Proxifer来进行修改获取历史排行榜的响应包
此时已经登顶第一,后面也会同步到数据库上,你的朋友也能看到你的分数,望着你的分数瑟瑟发抖。
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:704559159@qq.com