朋友圈刷疯了,自己试一试,首先我们要知道如何抓去小程序包,这里其实网上很多 我采用 proxifer + burpsuit
自行安装不细说了
首先我们需要找到微信小程序的所在位置
打开proxifer配置规则
选择小程序,只抓取小程序的流量,其他放行,设置代理为burpsuit的代理ip
即可,此时我们可以抓到小程序的包了
在抓包的时候发现获取地图接口,是可以遍历地图的id的,由此就可以进行地图更换
总共抓到了两个
前面的关卡很容易
我们可以试着玩一下,玩成功了后发现这个包。
试着重放或者修改参数
发现我的闯关数变了,由此存在逻辑漏洞
很明显后端没有对传过来的参数进行验证,我尝试修改score好像也没反应