绝地求生的这把大火儿真是烧的旺啊,我们这些屌丝为了能上车吃一把鸡得多拼命劲儿才能挤上去呀!不过,你们是不是从来没琢磨过,为啥有的人一登车就明显比我们高级多了,一下子就能吃到鸡呢?今儿个就让我来给大伙儿揭开这个隐藏的秘密吧,好好瞅瞅这占据咱们吃鸡热潮背后的乾坤!
大家都知道某宝吧?对啦,它就是咱们生活中的第三方销售平台,类似于这样的平台还有很多哦~你瞧,那些外挂制作大佬比如代理商啊,他们就在这种地方开店,把东西放上去卖(没错,就是外挂充值卡密啦),卖出去一份,这平台就会从中间捞点油水。所以呢,只要咱们能摸清楚这个发卡平台的门道儿,自己给自己充个值那可真是小事儿一桩了!
那啥,这个问题就出来啦,咋样去找出那个能狠狠地薅发卡平台羊毛的破绽呢?咱有辙儿,首先得抓个关键词啊,就是搜刮他们家发布发卡消息那档子事儿的关键词嘛!然后把这关键词往搜索引擎里扔进去,让它像狗皮膏药似的粘住网站,把人家给偷偷爬回来了。最后呢,就是运用我们强大神秘的字典大法,让采集到的网站所有文件资料都过过筛子,如此一来咱就把网站的原始代码给搞到手了。紧接着,就在自家电脑上搭个环境吧,咱们要开始做审计咯!
在审计这事儿上头儿,我们可是发现了不少猫腻儿啊。首先就是那个参数处理的手法,不管你是从哪冒出来的参数,都得先让它来个”洗澡”——大伙儿都知道,就是给它添上个””不就完事嘛。这么一搞,咱们想要偷偷摸摸地绕开这个限制可就不是那么容易搞定呐!
虽然吧,我们这也是费劲巴拉的琢磨出点辙子来避开这个棘手的事。就好比说嘛,程序老兄们有的时候别看他们挺聪明的,却也会马失前蹄,顺手儿就用了 $_POST 而不是应该写成的 _P来抓那些咱们输入的参数,这样的话就逃过了清洗这道关卡啦。不过你瞧,这么着手的薅羊毛其实也是差强人意啊,所以我们得再接再厉想想别的啥法子才行。
另一个大麻烦就是那些没戴帽子的点儿啊!虽然咱们还能耍点小聪明,用大幅字符跳过这种攻击方式,但咱们总不能老这么干吧(其实主要是我有点懒)。你看那文件/lin/ajax.php里面那两个$,可真是光着膀子啥也不穿地就出来愉快玩耍了。不过在拿参数的时候,这两位兄弟倒是挺负责任,先给自己戴上了int型的安全帽。唯独有那么一个$,没注意这个事儿,结果就儿单枪匹马地跟着大家出来跑了。
哎呦歪,这一查下来可就热闹了!不过嘛,咱们这会儿可不是挑刺,而是找茬儿,找到那个可以钻空子的破绽就行啦!接着往下侦查,嘿,还真让咱们瞧出点儿不对劲儿的东西来了——一个叫.php的文件。你猜怎么着?这货里头竟然连个啥认证信息都没有,这不就是直接敞开大门让人白捡便宜吗?赶紧查看源代码,看看这里头究竟暗藏着什么玄机吧!
哎呀妈呀,原来这个家伙居然是个破门儿!嗯,没错,这就是所谓的“后门”,比我们的破房子还烂。md5加密破译起来就像爬高山,费劲得很辅助发卡网,咱们这些穷得叮当响的毛头小子怎么可能买得起昂贵的破解软件呢?这个后门厉害了,咱们无论用哪个管理员权限登录后台,都能像皇帝一样霸道!你说啥就是啥,想干什么就干什么,这对于那些想玩游戏但没本事的小伙伴们可是天大的好事啊!
行了,今儿个就跟大伙儿唠到这儿呗。希望你们能从这堆废话里捡回点值钱的玩意儿。要是觉得我这碴子还凑合看,别忘了给我来波赞和分享啊!当然了,大伙儿也可以自由自在地抠脚留言,咱们一块儿侃大山,聊聊为啥吃鸡总是输和怎么才能吃鸡!
