前奏,发现 appstore 搜索排行榜有个街机游戏机 ~ 然后就下载下来玩玩,
第一次登录,送了 2k 金币。。好少,啥都不玩的。里面有个抓娃娃。。。玩玩看,头几次抓到了,后面打死也抓不到,尼玛,怒了。


话说这个问题到底算是支付宝的还是游戏的?还是都有份?

PS: 如此循环可以快速发家致富,走向人生巅峰,迎娶白富美,出任 CEO
PPS: 图多,手残党请自爱
PPPS: 是不是标题长就可以让重视。

开启 burp 抓包~

点击买币的时候抓到个包

连接如下



?
1
http://lobby.dreambrother.cn:9090/lobby/gold/trade?sn=8bf997e6f86b920b64c68d424cd0f750c8*********************&ln=1&cl=2&ch=apple_yu_center&nu=20&fm=0

ok,目测觉得 sn 这个参数是本地用户名神马的,类似序列号一样的玩意,判断身份的~

QQ20150304-1@2x.png

QQ20150304-1@2x.png

恩,然后我就点击支付宝 ->648000 金币

QQ20150304-2@2x.png

QQ20150304-2@2x.png

然后调到了这个页面

http://lobby.dreambrother.cn:9090/gold/trade/alipay /page?sn=8bf997e6f86b920b64c68d424cd0f750c8**********************& orderId=a9c3ae40ecba5bf65764146***********&coins=600.0&subject= 金 币充值-数量 648000&comment= 金币可以通过好运来游乐场玩游戏使用

QQ20150304-3@2x.png

QQ20150304-3@2x.png

sn= 判断用户身份信息



orderId= 订单号





coins= 钱





对,你没看错,,就是钱。。

600.0

600 块。。我 100 块都不给你,更别说 600 块了

改为 0.01

恩,就出现下面这样的样子

http://lobby.dreambrother.cn:9090/gold/trade/alipay /page?sn=8bf997e6f86b920b64c68d424cd0f750c8379164db3d4983& orderId=a9c3ae40ecba5bf65764146159d4280b&coins=0.001&subject= 金币充 值-数量 648000&comment= 金币可以通过好运来游乐场玩游戏使用

QQ20150304-4@2x.png

QQ20150304-4@2x.png

恩,然后他就成了 0.01 了~

ok,去付款

QQ20150304-5@2x.png

QQ20150304-5@2x.png

D2E79AB5-C19A-4F4D-961C-F6592D1C1D48.png

D2E79AB5-C19A-4F4D-961C-F6592D1C1D48.png

QQ20150304-6@2x.png

QQ20150304-6@2x.png

6AB72AEF1AD2C7A4423769B56851E12E.png

6AB72AEF1AD2C7A4423769B56851E12E.png

637C9978FE7EBA6937948E3028C550F5.png

637C9978FE7EBA6937948E3028C550F5.png

677A407B649064DBE8194EA7FD962787.png

677A407B649064DBE8194EA7FD962787.png

FC226E2FCF0D12F176AB8762E8C7F548.png

FC226E2FCF0D12F176AB8762E8C7F548.png

CA99E072CB8C94BD62678C30E1A7061B.jpeg

CA99E072CB8C94BD62678C30E1A7061B.jpeg

QQ20150304-7@2x.png

QQ20150304-7@2x.png

QQ20150304-8@2x.png

QQ20150304-8@2x.png



解决方案:


。。api 接口的问题吧,你说是支付宝的问题呢,还是你们游戏的问题呢 =~=