Fiddler抓包干货【实战某页游充值数据修改】

前言

之前也有介绍过怎么使用Fiddler配置及使用教程,今天就不在这里多过介绍Fiddler软件了,还不会使用的可以参考这篇文章

Fiddler配置及使用教程-清风博客
Fiddler配置及使用教程-清风博客
清风的头像-清风博客VIP会员2021/8/5/ 19:45
02178209

今天来再来举个案例,实战修改某页游的充值数据。

配置Fiddler 过滤必要的请求

这次我们以 某页游戏充值中心为例

我们先抓取订单数据

Fiddler抓包干货-清风博客

在请求标头中,选择仅当URL包含时才显示,并勾选启用过滤器

继续选择断点:选择上一个请求

Fiddler抓包干货-清风博客

这里可以选择过滤pay.**99.com这域名,然后我们回到游戏抓包

进入游戏 修改请求

进入游戏后我们首先打开重新页面

Fiddler抓包干货-清风博客

接着回到fiddler打开拦截请求,进行抓包操作。

Fiddler抓包干货-清风博客

在这里我们修改Body中money参数对应的值为5(现在大部分不能修改为0),点击运行完成进行放开拦截,

即可完成本次请求相应,订单也会正常创建, 并显示需要支付的二维码、

Fiddler抓包干货-清风博客

PS:现在大部分充值系统都有类似的充值心跳来检测充值是否成功

Fiddler抓包干货-清风博客

扫码后成功显示支付5元,值得一提的是,目前充值检测非常严格。 限制最低充值金额的原因,多是为了弥补当年设置0元购买的BUG,防止2000元改成 0元。说了简单点就是怕你0元支持来充2000或者更多。

我们付款后,大部分游戏充值结果对应的是您的充值金额,而不是对应的订单号。 如果要完全修改,比如充值会员,或者其他定额产品,可以通过抓取修改数据包来达到修改效果。

AutoResponse修改返回数据

部分游戏在获取订单状态时充值系统可能存在漏洞, 这时候就可以通过修改返回值直接判断充值成功,达到0元充值的效果,但是成功率也很低。

首先我们需要自己充值一次,支付成功后拦截订单返回的数据。

如图,我截取到的一个json文件

Fiddler抓包干货-清风博客

这个json文件对应的是某页游戏充值成功后的订单返回状态。,我们可以匹配对应规则中的URL,返回本地此文件,如果充值系统没有其他验证,则直接充值成功,有效期至json无效。

不过现在一般都会设置其他随机令牌或时间戳验证,以防止成功的支付数据包被使用两次。

后话:

对于一名氪金玩家来说,只要是喜欢的游戏都会充值,干到爆,比如现在大火的吃鸡,哪个不是几万游戏热度值。

话说回来,充值系统是一款游戏运行的关键所在,所以能找到的漏洞可以说是微乎其微,能用的更别多说了。

有兴趣的小伙伴可以查一下某疼的支付系统,不过我这要跟你说清楚,是合理范围内,站长可不想为你背黑锅。

像当年刷Q币的不能说全是假的,顶多是1:1.X倍, 至于0元,倒是没有; 说有的,也只是一种欺骗人的流量黑客软件。

原文来源于 https://www.esw.ink/810.html

温馨提示:本文最后更新于2022-05-07 12:06:15,某些文章具有时效性,若有错误或已失效,请在下方留言或联系清风#
© 版权声明
THE END
文章不错?点个赞呗!
点赞92 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容