暴力破解菠菜平台充值接口,0撸上分成功!

上周我们实际操作了一把入侵菠菜平台的后台,没看过的朋友请戳→黑吃黑,大神实操带你破解菠菜平台,提现成功!

今天继续试试找找这个平台有没有别的漏洞,毕竟这个平台还属于新平台,一些已经的老漏洞可能还没有时间修复,或者他们技术的水平还没修炼到家,我来给他们上一课。
大家知道玩菠菜最终的目的是为了上下分,如果我们能骗过平台上分或者下分,就达到我们的目的了。目前几乎所有平台下分都是需要人工审核打款的,这个可操作空间就比较少。
但是上分就不一样,上分一般分线下人工审核跟线上充值,线上就是走第三方充值平台来进行充值上分,只要是代码运行的,就一定会有漏洞在里面。

入侵思路
1、监控平台用户充值接口
2、拦截充值平台返回的支付成功回调
3、提交自己生成的充值订单
4、模拟充值成功回调到自己的订单并修改订单号
一) 监控平台充值接口

上周我们已经成功把木马植入到这个网站上面去,也用同样的方法拿到了后台管理员的账号密码,虽然这个家伙的权限比较低,但是还是能用这个方法监控平台的充值接口,只要有平台用户使用这个线上充值,我们就能第一时间知道。
一边吃泡面一边等鱼上钩,最近真的穷的喝西北风了~

上钩了~第一步已经成功拿到了,看来晚上不用继续吃面了~

二)拦截充值平台返回的支付成功回调

大家都知道,线上充值无非一般就是两种,微信跟支付宝,而菠菜平台是不可能拿到正规的微信跟支付宝的充值接口的,所以就会有第三方第四方的支付平台诞生,他们依靠注册大量的皮包公司申请支付宝,微信等平台接口,然后集成打包提供给做灰黑产的平台,这就是为什么大家充值的时候是这种跳个二维码出来给你截屏扫一扫,又或者是叫你添加支付宝好友然后发红包转账的,这些都是第三方充值平台的伎俩,用户扫码或者转账成功就会有一个充值成功的回调告诉菠菜平台这个用户充值成功了,平台就会自动给用户上分,这些全是靠代码在操作的,这就是为什么线上充值的渠道基本都能做到上分秒到的原因。
我们这次的目标就是拦截第三方充值平台发给菠菜平台充值成功的这条回调消息

这就是拦截成功的充值回调,由于这个回调是第三方平台并不是支付宝跟微信发的,所以就给了我们可有机可乘(我还没有那本事破解支付宝跟微信)
这条回调是经过加密的,我们要对其进行解密,拿到密钥就可以进行篡改了,加密方式有很多种,需要借助软件进行重点爆破。

破解的过程很枯燥,就是不断的重复试,消耗时间比较长,我软件整整跑了一天终于找到了解密的方式跟拿到了密钥。

三)提交自己的充值订单

接下来就是提交自己的充值订单,先搞个100的试下。

四)模拟充值成功回调

我肯定不会去真的充钱,只是通过模拟拿到的充值成功回调发给菠菜平台,骗过菠菜平台告诉他我的号充值成功了,拿到自己100元的充值订单号,然后用平台同样的方式进行进行加密

把回调原路返回,我们来看下上分成功没有!!

果然没有让我失望,这个方法虽然能成功,但是也是比较消耗时间,整个过程耗时2天半,消耗5包烟

充值平台跟菠菜平台每个月都会对一次帐,所以短时间内应该不会被发现,趁这之前还是屯点泡面钱吧~毕竟只有一套银行卡资料,不能太高调,每天领点工资买泡面。

今天运气不错,晚上宵夜可以加肉了,有老哥赞助包烟钱吗~