开开心心的抢了几百个QB，兑换的时候兑换到手软？使用burpsuite批量兑换！

开开心心的抢了几百个QB，兑换的时候兑换到手软？

sdj (男人分三种，第一种是用假名牌来掩饰身份，第二种是用真名牌类衬托身份，而第三种，则是用身份来衬托身上的假名牌。) | 2013-12-13 17:00

觉的有用的点击下感谢撒。

重温下神器burpsuite。

1:设置好本地代理，兑换QB页面输入购买码和QQ号，此处QQ以12345为例，点击提交，抓包，返回的数据是这样子的：

直接crtl+i，发送到intruder。

2：回到intruder,d到positions清除下所有变量，添加code=的数值为变量，如下图：

3：在intruder下设置下，对提交之后返回的数据进行抓取，点击options，找到grep-extract，clear掉里面数据，点击add，界面如下，此处start after就填"qq":"12345好了，end at填,"pass"，如下图：

点击ok添加进去，此处为过滤充值卡卡号，继续刚才步骤，过滤密码，start after填 ,"p，end at填"}}，点击OK添加。线程嘛，默认就行了。

4：进入QB购买页面，复制所有的购买码，粘贴到word，处理掉所有的空白行，然后回来burpsuite下的intruder，点击payloads，把所有的购买码粘贴进去。如下图：

5：点击start attack开始吧。可以看到所有的购买码都已经成功兑换，如下图：

最后一步，把数据导出，intruder attack界面左上角选择save，results table，只选择我们需要的数据就行了，如下图：

选择下保存格式和路径，txt就行。

导出的数据图：

[原文地址]

相关讨论：

1#

px1624 (aaaaaaaaa) | 2013-12-13 17:03

何必这么麻烦，这里有神器啊！http://zone.wooyun.org/content/8893

2#

MeirLin (www.5D87.com) | 2013-12-13 17:03

前排支持下。。。

3#

小胖子 (流泪撒种的，必欢呼收割。) | 2013-12-13 17:04

@px1624 某人都写了工具了啊。。比你那简单多了~~·

4#

sdj (男人分三种，第一种是用假名牌来掩饰身份，第二种是用真名牌类衬托身份，而第三种，则是用身份来衬托身上的假名牌。) | 2013-12-13 17:04

@px1624 不舍的买啊- -！

5#

sdj (男人分三种，第一种是用假名牌来掩饰身份，第二种是用真名牌类衬托身份，而第三种，则是用身份来衬托身上的假名牌。) | 2013-12-13 17:05

@小胖子 求神器！

6#

sdj (男人分三种，第一种是用假名牌来掩饰身份，第二种是用真名牌类衬托身份，而第三种，则是用身份来衬托身上的假名牌。) | 2013-12-13 17:06

擦，打码技术果断还是不行，测漏了好几次，幸好有编辑功能。

7#

px1624 (aaaaaaaaa) | 2013-12-13 17:39

@小胖子 比我简单的应该就是把token的算法加进去了。。

8#

x防部 | 2013-12-13 17:41

@sdj">sdj 不好意思我抢了900QB

9#

李旭敏 | 2013-12-13 17:43

还好能看懂··

10#

肉肉 | 2013-12-13 17:50

居然抢到了

11#

x防部 | 2013-12-13 17:56

@px1624 求算法....

12#

Ivan (Null.) | 2013-12-13 17:56

妈蛋又没抢到。

13#

国士无双 (你这个是跟我闹呐？) | 2013-12-13 18:24

@肉肉 求分钱

14#

sdj (男人分三种，第一种是用假名牌来掩饰身份，第二种是用真名牌类衬托身份，而第三种，则是用身份来衬托身上的假名牌。) | 2013-12-13 18:38

这也是burp脱裤方法嘛，或者是遍历一些信息的时候，速度还是蛮不错的，

15#

zsmynl | 2013-12-13 19:38

听说Q币购买要上微信验证、、

16#

肉肉 | 2013-12-13 21:59

@国士无双 我说他居然抢到了。。。我都没意识到今天是周五

17#

5inb4d | 2013-12-14 00:32

牛X 买的话就好了

18#

5inb4d | 2013-12-14 00:32

购买一点 全部数量买了就爽

19#

围剿 | 2013-12-14 08:24

只抢到一个，还用到批量破解？

文章来源于lcx.cc:开开心心的抢了几百个QB，兑换的时候兑换到手软？使用burpsuite批量兑换！

相关推荐: 大家来猜搜狗那个安全漏洞的形成原因（猜对获得肉肉签名手帕一只）

大家来猜搜狗那个安全漏洞的形成原因（猜对获得肉肉签名手帕一只） xsser (十根阳具有长短!!) | 2013-11-06 10:59 首先我觉得这个问题应该是真实的，在用户量大的时候很容易由于内部的算法导致两个用户的身份认证出现混淆，从而导致所谓的“串号”…