最近抖音跟微信都很火的一款小程序游戏,地下城割草,玩了几天太肝了想试一下能不能通过通过 fiddler 修改游戏的金币钻石目前把加密算法搞定了,剩下的疑点感觉我目前的技术水平搞不定了,求大佬帮忙啊。
我发现修改自己的游戏数据和修改其他人的完全不同,试了 N 次没搞明白怎么弄,例如,通过 fiddler 抓 prefetch/unifiedfetch 这个包服务器返回的 signkey 跟用 post 测试返回来的数据完全不同。
猜想可能与 code 这类变化值有关,而 code 也只能用一次,用过之后再用相同值发送就失效了。
显然,post 返回的 signkey 是错误的,但是要怎么调试才能使服务器返回正确的结果呢?
是否需要提前拦截下 code 再发送出去吗?还是有什么方法获取到这个 signkey 呢,例如微信 hook? signkey 的获取至关重要,因为是解密算法的参数之一,修改自己的很简单,直接抓包自己的数据即可,怎么样才可以做到修改别人的数据咧?
1
610915518 2022-05-01 00:40:13 +08:00
一般都是 md5(data),可以自己多试一下。实在不行就逆向大法
|
2
learningman 2022-05-01 01:56:50 +08:00 via Android
小程序又不保护 js ,本地清空缓存重新加载下就拿到混淆过的源码了。
而且网游你琢磨抓包意义不大吧,加减可能都是在服务端跑的逻辑,还是你打算搞 sql 注入这种?👀 |
3
LifStge 2022-05-01 09:14:23 +08:00
其实我想说 当然不做保护的游戏一大堆 但是这游戏都做这样的防护了 难道还会做这种不严谨的设计吗(客户端计算数据 服务端改)? 小游戏有没啥计算量 又不会给服务器带来很大的消耗...
这种最多也就搞搞 模拟挂机吧..... |
4
py2ex 2022-05-03 19:38:14 +08:00
去看了,发现是盗版 vampire survivors
音效都直接拿别人的素材。 SEO 一波 账号主题:广州考拉信息技术有限公司 账号原始 id: gh_3b88bcdd9779 AppID: wx8d06a624c1242a78 |
5
py2ex 2022-05-03 19:38:36 +08:00
账号主题→账号主体
|