发现校内网好友买卖的一个小漏洞!并成功实现自动好友买卖!-阿里云开发者社区

开发者社区> redraiment> 正文

发现校内网好友买卖的一个小漏洞!并成功实现自动好友买卖!

简介: //有些网站通过网络爬虫转载文章都不写明文章出处,请保留文章原作者:redraiment公告:因为服务器要转让,我将不再有可使用的服务器。因此挂机站点将于2008年11月6日0时关闭。最新消息:客户端版AutoAuto preview 1已发布,详情查看最新日志。最新消息:我写了一个脚本,免费提供大家在线挂机,目前还在测试阶段,每天最多只能提供60个人同时挂机。欢迎大家前来测试体验。具体参见h
+关注继续查看

//有些网站通过网络爬虫转载文章都不写明文章出处,请保留文章原作者:redraiment

公告:因为服务器要转让,我将不再有可使用的服务器。因此挂机站点将于2008年11月6日0时关闭。

最新消息:客户端版AutoAuto preview 1已发布,详情查看最新日志。

最新消息:我写了一个脚本,免费提供大家在线挂机,目前还在测试阶段,每天最多只能提供60个人同时挂机。欢迎大家前来测试体验。
具体参见http://acm.zjgsu.edu.cn/friendsell/

真是不容易呀!连续好几个不眠的夜晚终于没有白费!我终于实现了自动买卖好友的功能。终于可以在平凡的鼠标操作中解放出来了!起初我在Google里搜索好友买卖的漏洞时,结果都是以前的GET和POST漏洞,现在这些漏洞都已经不能再利用了。
  我用的系统是fodora 6,Linux下有个命令:curl,能下载网络上的文件。也可以用来作命令行下的浏览器。于是我就琢磨,既然它是一个浏览器,那也应该能提交让宠物挖煤、卖花的请求吧。
  于是man curl一下(如果不知道curl的用法,就现man一下~^_^),看看curl的用法。然后一步一步来。

一、登入校内网
  先运行$ curl -o index.html http://xiaonei.com/,把首页下载下来,保存到index.html里。
  打开后搜索"form"查看表单,定位到:

  1. <form method="post" id="loginForm" class="login-form" action="http://login.xiaonei.com/Login.do" >
  2. <p class="top">
  3. <label for="email">登录邮箱:</label>
  4. <input type="text" name="email" rule="blank#email" error="请输入正确的email地址" class="input-text" value="" id="email" tabindex="1" />
  5. </p>
  6. <p>
  7. <label for="password">密码:</label>
  8. <input type="password" id="password" name="password" rule="blank" error="请输入密码" class="input-text" tabindex="2"  />

  看这段代码,就知道,表单是提交把email和password给http://login.xiaonei.com/Login.do
  那我们就用命令$ curl -O -D ck/1 -d "email=username@host&password=yourpassword" http://login.xiaonei.com/Login.do,来登入。
  参数-D是指定cookie的保存地址;-d是将后面的信息以post方式提交信息。
  打开下载来的Login.do,内容:

  1. The URL has moved <a href="http://home.xiaonei.com/Home.do">here</a>

  页面转到了个人主页上。那就再去看看主页的信息:
  $ curl -b ck/1 -D ck/2 http://home.xiaonei.com/Home.do
  参数-b是指定需要以来的cookie文件。
  用相同的方法进入好友买卖的首页:http://friendsell.xiaonei.com/friendsell/home.do
  定位到对好友处理的代码段:

  1. <li id="release_f" onclick="releasePet(222729759,this)"><a
  2.         href="javascript:void(0)">抛弃她</a></li>
  3. <li id="discount_f" onclick="discountPet(222729759,this)"><a
  4.         href="javascript:void(0)">打折处理</a></li>
  5. <li id="torment_f" rel="222729759" onclick="abuse(222729759,this)"><a
  6.         href="javascript:void(0)">折腾她</a></li>
  7. <li id="comfort_f" rel="222729759" onclick="comfortPet(222729759,this)"><a
  8.         href="javascript:void(0)">安抚她</a></li>
  9. <li id="nickname_f" rel="222729759" onclick="nickname(222729759,this)"><a
  10.         href="javascript:void(0)">起昵称</a></li>

  我们要做的,当然是折磨她咯!不过点击后是触发一个js函数,但文件里却找不到abuse这个函数,看来还有另外一个js文件。我在顶部看到了:http://xnimg.cn/xnapp/frs/frs.js?ver=63283这个链接,直接在浏览器里打开看看。就能看到所有的js函数。原来作者还预留了很多功能哈!找到abuse的函数:

  1. function abuse(id, obj) {
  2.     XN.DOM.disable(0);
  3.     var myurl = "/friendsell/abuseAjax.do";
  4.     var pars = "id=" + id;
  5.     var myAjax = new Ajax.Request(
  6.             myurl,
  7.     {
  8.         method: 'post',
  9.         parameters: pars,
  10.         onComplete: function(r) {
  11.             XN.DOM.enable();
  12.             displayAbus(r, XN.Element.realLeft(obj), XN.Element.realTop(obj));
  13.         },
  14.         onFailure: function() {
  15.         }
  16.     });
  17. }

  原来是把id这个信息提交给abuseAjax.do来处理。
  运行$ curl -O -b ck/1 -D ck/2 -d "id=friend's id" http://friendsell.xiaonei.com/friendsell/abuseAjax.do
  获得以下信息:

  1. [{content:"<div class=/"dialog_summary/"><div style=/"margin: 10px auto; width: 300px; text-align: center;/"><img width=/"100/" src=/"http://hd34.xiaonei.com/photos/hd34/20080510/12/43/head_2695h107.jpg/"/><div class=/"m10_0/"><table><tbody><tr><td class=/"graytext w100/">你要让***做什么呢?</td></tr></tbody></table></div><hr size=/"1/" class=/"mb10/"/><div class=/"cmplist mb10/"><ul><form id='abuse_form' method='post' action='/friendsell/abuse.do'><li><input type=/"radio/" name=/"paintype/" checked=/"check/" id=/"paintype/" value=/"1/"/>在冰冷小黑屋关一天  <font color=/"#666666/">(消费¥1000)</font></li><li><input type=/"radio/" name=/"paintype/" id=/"paintype/" value=/"2/"/>痛扁她一顿  <font color=/"#666666/">(消费¥100)</font></li><li><input type=/"radio/" name=/"paintype/" id=/"paintype/" value=/"3/"/>饿一天不给饭吃</li><li><input type=/"radio/" name=/"paintype/" id=/"paintype/" value=/"11/"/>去看芙蓉姐姐演唱会</li><li><input type=/"radio/" name=/"paintype/" id=/"paintype/" value=/"8/"/>去卖花</li><li><input type=/"radio/" name=/"paintype/" id=/"paintype/" value=/"9/"/>跳草裙舞</li><li><input type=/"radio/" name=/"paintype/" id=/"paintype/" value=/"10/"/>半夜闹铃</li><input type='hidden' name='id' value='friend's id'></form></ul></div></div></div>",id:"friend's id",name:"***"}]

  内容很明显,是弹出的窗口信息。把paintype和好友的id以post形式提交给abuse.do。
  起初到了这里,我卡住了。我还是依然提交:
  $ curl -O -b ck/1 -D ck/2 -d "paintype=8&id=***" http://friendsell.xiaonei.com/friendsell/abuse.do
  但却没有返回成功的信息。我直接在firefox里提交url:
    http://friendsell.xiaonei.com/friendsell/abuse.do?paintype=8&id=***
  结果弹出一个窗口,说“不要修改链接哦^_^”。看来是作者在修补以前的漏洞时做的修改。

  这让我感觉有点奇怪,莫非还有什么隐藏的信息要提交吗?
  为了验证自己的想法,我用winSock来抓包,看看firefox提交和手工get提交的区别。结果,出了提交方式,貌似看不出其他的区别!
  正当我绝望的时候,突然灵光一闪,是不是abuse.do对前面的页面abuseAjax.do有依赖?
  于是我运行:
  $ curl -O -b ck/1 -D ck/2 -d "paintype=8&id=***" -e http://friendsell.xiaonei.com/friendsell/abuseAjax.do http://friendsell.xiaonei.com/friendsell/abuse.do
  成功了!

  然后我写了个shell。对我所有的宠物进行提交,结果全部成功!也因此发现一个小漏洞!
  起初,我在想,男生下面没有买花的选项,不晓得行不行。但我想,反正不行也无所谓,先提交看看。结果,却成功了!如下图,其中红色圈的是男生,却也能买花~同样,女生也能挖媒咯~哈哈!


  这不算是什么大漏洞,但却方便我写脚本了,不用去判断宠物的性别,统一去挖媒就搞定,哈哈~

  来总结一下过程:
    1)登入校内,保存cookie
    2)下载好友买卖首页到本地
    3)提取自己的宠物的id
    4)逐一安排宠物去打工

  我这些过程写成一个shell脚本来运行。代码如下:

  1. #!/bin/bash
  2. # filename: pet

  3. if [ $# = 2 ]
  4. then
  5.     email=$1
  6.     password=$2
  7. else
  8.     echo "usage: $0 email password"
  9.     exit 1
  10. fi

  11. # Save cookie.
  12. curl -O -D cookie -d "email=${email}&password=${password}" http://login.xiaonei.com/Login.do

  13. # Get pet list.
  14. curl -O -b cookie http://friendsell.xiaonei.com/friendsell/home.do

  15. URL='http:////friendsell.xiaonei.com//friendsell//'
  16. get_line="egrep ' {20}<a class=/"bold/"' home.do"
  17. get_id="sed -e 's/[^0-9]//g'"
  18. insert_head="sed -e 's/^/curl -O -b cookie -d /"paintype=5/&id=/'"
  19. append_tail="sed -e 's/$//" -e ${URL}abuseAjax.do ${URL}abuse.do/'"
  20. # Comfort TT and abuse pet.
  21. filename="/tmp/abuse"
  22. echo "#!/bin/bash" > $filename
  23. echo "" >> $filename
  24. eval "$get_line | $get_id | $insert_head | $append_tail >> $filename"
  25. chmod u+x $filename
  26. /tmp/abuse

  27. # Clean.
  28. rm -rf $filename *.do cookie

  然后用crontab来指定每一小时自动运行一次。^_^
  $ crontab -e
  0 */1 * * * ~/friendsell/pet email password

后记:
  同样的方法,成功实现自动补充好友!保证自己的好友总数一直持续在12只。^_^

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10092 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10886 0
内网大杀器!Metasploit移植MS17-010漏洞代码模块利用
本文讲的是内网大杀器!Metasploit移植MS17-010漏洞代码模块利用,2017年4月,网络最为轰动的事件无疑是TheShadowBrokers放出一大批NSA(美国国家安全局)“方程式组织” (Equation Group)使用的极具破坏力的黑客工具
2167 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13893 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
11893 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
7365 0
+关注
redraiment
阿里巴巴-淘宝-新制造-高级技术专家,PostgreSQL、Clojure、FreeBSD等技术爱好者
110
文章
5
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载