开开心心的抢了几百个QB,兑换的时候兑换到手软?
sdj (男人分三种,第一种是用假名牌来掩饰身份,第二种是用真名牌类衬托身份,而第三种,则是用身份来衬托身上的假名牌。) | 2013-12-13 17:00
觉的有用的点击下感谢撒。
重温下神器burpsuite。
1:设置好本地代理,兑换QB页面输入购买码和QQ号,此处QQ以12345为例,点击提交,抓包,返回的数据是这样子的:
直接crtl+i,发送到intruder。
2:回到intruder,d到positions清除下所有变量,添加code=的数值为变量,如下图:
3:在intruder下设置下,对提交之后返回的数据进行抓取,点击options,找到grep-extract,clear掉里面数据,点击add,界面如下,此处start after就填"qq":"12345好了,end at填,"pass",如下图:
点击ok添加进去,此处为过滤充值卡卡号,继续刚才步骤,过滤密码,start after填 ,"p,end at填"}},点击OK添加。线程嘛,默认就行了。
4:进入QB购买页面,复制所有的购买码,粘贴到word,处理掉所有的空白行,然后回来burpsuite下的intruder,点击payloads,把所有的购买码粘贴进去。如下图:
5:点击start attack开始吧。可以看到所有的购买码都已经成功兑换,如下图:
最后一步,把数据导出,intruder attack界面左上角选择save,results table,只选择我们需要的数据就行了,如下图:
选择下保存格式和路径,txt就行。
导出的数据图:
相关讨论:
1#
px1624 (aaaaaaaaa) | 2013-12-13 17:03
何必这么麻烦,这里有神器啊!http://zone.wooyun.org/content/8893
2#
MeirLin (www.5D87.com) | 2013-12-13 17:03
前排支持下。。。
3#
小胖子 (流泪撒种的,必欢呼收割。) | 2013-12-13 17:04
@px1624 某人都写了工具了啊。。比你那简单多了~~·
4#
sdj (男人分三种,第一种是用假名牌来掩饰身份,第二种是用真名牌类衬托身份,而第三种,则是用身份来衬托身上的假名牌。) | 2013-12-13 17:04
@px1624 不舍的买啊- -!
5#
sdj (男人分三种,第一种是用假名牌来掩饰身份,第二种是用真名牌类衬托身份,而第三种,则是用身份来衬托身上的假名牌。) | 2013-12-13 17:05
@小胖子 求神器!
6#
sdj (男人分三种,第一种是用假名牌来掩饰身份,第二种是用真名牌类衬托身份,而第三种,则是用身份来衬托身上的假名牌。) | 2013-12-13 17:06
擦,打码技术果断还是不行,测漏了好几次,幸好有编辑功能。
7#
px1624 (aaaaaaaaa) | 2013-12-13 17:39
@小胖子 比我简单的应该就是把token的算法加进去了。。
8#
x防部 | 2013-12-13 17:41
@sdj">sdj 不好意思我抢了900QB
9#
李旭敏 | 2013-12-13 17:43
还好能看懂··
10#
肉肉 | 2013-12-13 17:50
居然抢到了
11#
x防部 | 2013-12-13 17:56
@px1624 求算法....
12#
Ivan (Null.) | 2013-12-13 17:56
妈蛋又没抢到。
13#
国士无双 (你这个是跟我闹呐?) | 2013-12-13 18:24
@肉肉 求分钱
14#
sdj (男人分三种,第一种是用假名牌来掩饰身份,第二种是用真名牌类衬托身份,而第三种,则是用身份来衬托身上的假名牌。) | 2013-12-13 18:38
这也是burp脱裤方法嘛,或者是遍历一些信息的时候,速度还是蛮不错的,
15#
zsmynl | 2013-12-13 19:38
听说Q币购买要上微信验证、、
16#
肉肉 | 2013-12-13 21:59
@国士无双 我说他居然抢到了。。。我都没意识到今天是周五
17#
5inb4d | 2013-12-14 00:32
牛X 买的话就好了
18#
5inb4d | 2013-12-14 00:32
购买一点 全部数量买了就爽
19#
围剿 | 2013-12-14 08:24
只抢到一个,还用到批量破解?