最近在找一些docker以及一些破解版网站的资料,无意间找到一家网站,可谓是资源丰富
但是没想到都是要钱的东西,没办法,看下贵不贵吧。
讲道理,其实如果真的是有这么多资源的话,这个费用实际上并不多,只是对我来说,时时刻刻都要有着防备心理,程序员的世界,骗吃骗喝的人多了去了,见过骗吃骗喝的人也多了去了,既然又想下东西,又不想充钱担心被骗,那怎么办呢,没办法,只有搞了。
F12审查元素(其实在搞之前,我已经知道这个网站的框架是tp5.0,讲道理对于我自身最熟悉的框架,还是想着试一试的心态,看下能不能搞下来)
前后端不分离,MVC典型架构,查看接口,以及提交参数,xiadan接口明显暴露在外,这个时候其实还不知道tp做了IP限制没,想知道还不简单,搞呗。掏出POSTMAN模拟网站提交
直接进入支付宝电脑网站支付下单界面,所有信息在POSTMAN下显露,同步接口,异步接口,对于经常做支付的我来说,这些字眼真的是特别的敏感,破解之路一帆风顺呀。验证同步和异步接口
同步接口显然啥都没放,只是个tp的默认跳转界面,且不说这个程序员有多懒,吐槽一下这个tp的跳转界面是真的丑,验证异步回调接口,报错误,并且关闭了调试模式。可以猜测应该是限制了POST提交方式,并且做了回调异步验签。异步回调接口都找到了,接下来就是模拟异步提交方式,去模拟支付成功了。没有做过支付的可以看下支付宝的异步验签,异步返回参数等,进行模拟回调提交。
模拟提交异步方式,这一步的时候,后台可能做了支付金额,支付ID等验证,需要传递发起支付的订单号,以及金额,且要保持一致,不然数据回调会失败。我也是花了很多功夫去模拟这个数据的。
不过最后很坑的一点是,我模拟提交了,但是后台显示的却是充值成功,而不是显示充值VIP,其实从一开始我进入这个网站的时候,就觉得有点垃圾,无论是网站制作的细心程度还是网站的安全程度,都给人一种骗子的感觉,感觉就是从哪个地方买过来的代码,然后进行部署了,然后招摇撞骗,不过,虽然是个骗子网站,但是我还是把域名给打码了,域名会在我付费群里面公布,进入付费群的哥们可以私聊我发送域名。
后记:无论是做支付也好,还是做网站也好,安全性都至关重要,支付异步验签,支付金额以及支付id的验证,多重验证,保证数据不被模拟篡改。这个网站我还没有进行sql注入的检测,sqlmap跑几个接口应该数据库也可以拿下了,有兴趣的小伙伴可以去试一试。
