Whose moon cake
Ali
2016年中秋,阿里在内部搞了一个中秋抢月饼的活动,不过阿里安全的四位童鞋却狂拽酷炫地秀了一把技术,不动声色地多刷了124盒月饼。然而,这件事情却迅速发酵。根据内部决定,为了维护企业文化,阿里巴巴居然决定“挥泪斩马谡”,把这五位童鞋给开除了。但是这件事也让阿里的公关走到了风口浪尖: https://www.zhihu.com/question/50600301?rf=50612778
最近公司也做了旧电脑的福利,在公司内部进行抢购,作为一个搞技术的,怎么可能像傻逼一样抱着手机在那里点呢,肯定是搞些自动化的东西来用,只是不知道公司会不会开除我?
APP
公司内部行政部和系统部开发了一个应用,可以在上面做了个抢购的功能来抢这些旧电脑,听说这次有苹果什么的,价格也非常低,好多同学都擦拳磨掌了。
看到上面的倒计时,立刻把手机的时间调整了一下,仍然不行,恩,看来没这么蠢。
接下来就只能抓包分析了。
MitM
由于APP用的API是HTTPS的,需要解密 HTTPS 流量(即 Man-in-the-middle attack 简称 MitM)。
中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且在今天仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。
随着计算机通信网技术的不断发展,MITM攻击也越来越多样化。最初,攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定的流量就可以实现攻击,这是因为很多通信协议都是以明文来进行传输的,如HTTP、FTP、Telnet等。后来,随着交换机代替集线器,简单的嗅探攻击已经不能成功,必须先进行ARP欺骗才行。如今,越来越多的服务商(网上银行,邮箱登陆)开始采用加密通信,SSL(Secure Sockets Layer 安全套接层)是一种广泛使用的技术,HTTPS、FTPS等都是建立在其基础上的。 from baidu
在iOS中安装一个自己签发的CA证书,然后强行信任,用这个证书来劫持流量,分析数据。最终发现了很多问题:
- 所有的请求都是GET方式
- 时间是从服务器端获取的时间
- 没有任何认证机制
- 数据格式不够标准
仔细分析了下,下面这个url引起了我的关注:
https://fc.xxx.com/app/order/time?uid=xxxxxx
果然返回结果有一个当前时间戳,恩,想办法把这个请求劫持一下。
{"currenttime":"2018-03-25 00:54:14","starttime":"2018-03-27 14:00:00","endtime":"2018-03-28 17:00:00","success":true}
正好iOS上有个软件可以根据正则302rewrite某些请求,于是我按下面这样配置:
^https://fc\.xxx\.com/app/order/time
https://baokun\.li/time
这样就将这个时间请求劫持到我的服务器上来了。打卡APP看一下:
看来后面没有验证,有点太简单了。测试了下,可以正常下单的。
Fair
如果跳过时间可以直接下单,有点太不公平了,至少应该在一起跑线上,向阿里一样,哈哈。可以考虑写个小工具来自动化,而不是劫持时间去抢。
好了 ,不写了,去准备简历了。