微信跳一跳改分源代碼是一款網(wǎng)上大神帶來的實(shí)力漏洞源代碼修改功能和教程�����,依舊能讓你的分?jǐn)?shù)隨便修改����,安全可靠。操作簡(jiǎn)單�����,具體過程來看看9553小編給大家?guī)淼慕坛贪伞?/p>
微信跳一跳改分源代碼相關(guān)推薦
微信跳一跳改分源代碼介紹
1月2日下午�,著名安全團(tuán)隊(duì)“盤古”的安全專家證實(shí),微信小游戲“跳一跳”改分漏洞仍在��,此前流傳的“微信已補(bǔ)漏洞”是指已經(jīng)修補(bǔ)了微信小游戲“跳一跳”的源代碼下載漏洞�。這意味著,改分依然可行���。
微信跳一跳改分攻略
為此�����,“盤古”旗下的移動(dòng)安全威脅數(shù)據(jù)平臺(tái)Janus出具了一份最新改分攻略
一���、改分關(guān)鍵步驟
電腦安裝抓包軟件���,手機(jī)設(shè)置https代理到電腦
通過抓包軟件,抓包拿到微信的sesseion_id
將sesseion_id寫入改分腳本����,提交改分請(qǐng)求
二、詳細(xì)教程
(1)部署代理環(huán)境(mac環(huán)境)
mac下選用charles作為抓包代理軟件(https://www.charlesproxy.com/)�����,windows用戶可以用 fiddler(https://www.telerik.com/fiddler)���。
安裝好后運(yùn)行起來����,查看本機(jī)IP地址���,以及軟件提供的遠(yuǎn)程代理端口號(hào):
charles 的頂部菜單 Proxy->Proxy settings
將手機(jī)接入與電腦同一個(gè)局域網(wǎng)的wifi�,然后在wifi的代理設(shè)置中����,選擇手動(dòng)指定代理,代理服務(wù)器為電腦的ip及代理軟件提供的端口號(hào)(如圖中的8888)�����。
電腦端會(huì)提示是否運(yùn)行遠(yuǎn)程接入���,點(diǎn)allow即可��。
設(shè)置好了以后可以嘗試瀏覽器打開baidu.com�����,如果可以正常打開���,并且在抓包軟件中可以看到請(qǐng)求記錄就完成了手機(jī)的代理設(shè)置。
由于是https的請(qǐng)求���,需要在手機(jī)端安裝證書才可以解密請(qǐng)求����,charles的證書可通過手機(jī)瀏覽器安裝�����,手機(jī)瀏覽器訪問http://chls.pro/ssl,點(diǎn)繼續(xù)訪問此網(wǎng)站�����,會(huì)提示安裝證書�。
iOS 10.3以上的系統(tǒng)版本,需要在 設(shè)置→通用→關(guān)于本機(jī)→證書信任設(shè)置 里面啟用完全信任Charles證書���。
配置好證書后可以打開https://baidu.com看看是否能解開百度的首頁(yè)源代碼�。
(2)獲取session id
https配置完畢后��,打開微信的跳一跳小程序����,就可以看到抓包歷史有一個(gè)帶有session id的請(qǐng)求:https://mp.weixin.qq.com/wxagame/wxagame_init
在request部分就可以復(fù)制到session_id了。
(3)將sesseion_id寫入改分腳本���,提交改分請(qǐng)求
目前開源的腳本是nodejs寫的��,git地址:https://gist.github.com/feix/6dd1f62a54c5efa10f1e1c24f8efc417
具體的步驟:
新建個(gè)目錄�����,比如:wxt1t��,然后將腳本源碼保存到這里���,比如hack.js。
然后安裝nodejs��,可以通過官網(wǎng)下載安裝包安裝:https://nodejs.org/en/
然后在命令行cd到當(dāng)前項(xiàng)目文件夾(wct1t)��,運(yùn)行:
npm init --y
npm install crypto-js request-promise
然后用文本編輯器打開hack.js��,修改里面的score(分?jǐn)?shù))和session_id變量的值即可��。
命令行運(yùn)行node hack.js����,出現(xiàn)2018! Happy new year! 就代表成功了。
上述專家還提醒:“雖然‘跳一跳’的下載代碼漏洞已經(jīng)修補(bǔ)���,但是之前官方的源代碼已經(jīng)傳播開了��,別人拿去改一改�����,就可以出個(gè)自己的‘跳一跳’了�,比如,可以拿‘跳一跳’的代碼改一個(gè)游戲�,叫‘跳跳跳’,然后夾帶一些私貨����,發(fā)布個(gè)新游戲?����!?/p>
小編提示
如果這樣��,類似的新游戲是否有夾帶惡意代碼的風(fēng)險(xiǎn)?
專家稱:“小程序有審核機(jī)制���,如果夾帶了惡意代碼���,躲避審核后才能實(shí)現(xiàn)。現(xiàn)在小程序?qū)徍吮容^嚴(yán)格�,尚不清楚其對(duì)惡意代碼的審計(jì)力度?���!?/p>
