利用Charles 实现全部自动答题爆破思路

lsekfe

　利用Charles 达成“我是达人”答题类爆破思路
　　最近公司需要使用“我是答题”小程序，对武汉疫情进行知识问题；榜单靠前的也有一定的学分奖励；虽然平时总不屑于公司组织的此类活动，但是看了这次活动形式，还是决定直接“爆破”。
　　思路
　　8年大火的直播答题中，对某答题app也进行了类似爆破，并薅了不少羊毛，到了后期已经做到了全自动化的答题，并且是100%正确正常情况下小程序和服务端通信流程。

使用charles对请求进行串改流程：

　因为我的主力电脑就是MacOS，所以就直接使用了Charles，当然Windows上也有很多类似软件，这里不再赘述。
　　0x02 开始我先正常完成一轮答题，可以在Charles上看到小程序和服务端的每次通信报文，通过对请求接口分析，大致梳理出以下两个接口。
　　1. 开始测试&挑战接口：
　　https://v4.21tb.com/race-mobile/mina/startRace.do
　　2. 上传答案&获取下次题目接口：
　　https://v4.21tb.com/race-mobile/mina/userAnswer.do
　　对请求报文和返回报文分析后，确定报文的data.examItem.itemOptions[].isCorrect节点为正确答案。

1. 　{
   
2. 　　    "success": false,
   
3. 　　    "data": {
   
4. 　　        "examItem": {
   
5. 　　            "itemOptions": [{
   
6. 　　                "content": "疑似或确诊病例有过近距离接触",
   
7. 　　                "isCorrect": true
   
8. 　　            }, {
   
9. 　　                "content": "感冒的病人",
   
10. 　　                "isCorrect": false
    
11. 　　            }],
    
12. 　　            "itemName": "什么是新型冠状病毒密切接触者？"
    
13. 　　        }
    
14. 　　    },
    
15. 　　    "message": null,
    
16. 　　    "status": "SUCCESS"
    
17. 　　}

复制代码

只要搭建一个中间代{过}{滤}理服务，在返回给小程序时把content字段进行修改，即可让我们快速在小程序上看到正确答案。 本次我使用的nodejs进行开发，我对nodejs语法还停留在新手上，将就看

1. router.post('/21tb/:do', function (req, res, next) {
   
2. 　　  console.log(req.params.do);
   
3. 　　  fly.post('https://v4.21tb.com/race-mobile/mina/' + req.params.do + '.do', req.body, { headers: { "content-type": "application/x-www-form-urlencoded" } })
   
4. 　　    .then(d => {
   
5. 　　      console.log(d.data.data)
   
6. 　　      if (d.data.data) {
   
7. 　　        if (d.data.data instanceof Array) {
   
8. 　　          for (var inx in d.data.data) {
   
9. 　　            var data = d.data.data[inx];
   
10. 　　            if (data.examItem && data.examItem.itemOptions) {
    
11. 　　              var itemOptions = d.data.data.examItem.itemOptions;
    
12. 　　              if (itemOptions) {
    
13. 　　                for (var inx in itemOptions) {
    
14. 　　                  var item = itemOptions[inx]
    
15. 　　                  if (item.isCorrect) {
    
16. 　　                    item.content = '' + item.content;
    
17. 　　                  }
    
18. 　　                }
    
19. 　　              }
    
20. 　　            }
    
21. 　　          }
    
22. 　　        } else {
    
23. 　　          if (d.data.data.examItem && d.data.data.examItem.itemOptions) {
    
24. 　　            var itemOptions = d.data.data.examItem.itemOptions;
    
25. 　　            if (itemOptions) {
    
26. 　　              for (var inx in itemOptions) {
    
27. 　　                var item = itemOptions[inx]
    
28. 　　                if (item.isCorrect) {
    
29. 　　                  item.content = '?' + item.content;
    
30. 　　                }
    
31. 　　              }
    
32. 　　            }
    
33. 　　          }
    
34. 　　        }
    
35. 　　      }
    
36. 　　      res.send(d.data);
    
37. 　　    })
    
38. 　　    .catch(function (error) {
    
39. 　　      console.log(error);
    
40. 　　    });[/size][/font][/color][/indent][indent][color=rgb(36, 41, 46)][font=-apple-system, BlinkMacSystemFont, "][size=16px]
    
41. 　　});

复制代码

　再来看Charles上的配置，主要使用的Map Remote功能。

通过这一系列的配置后，就可以实现对小程序请求的中间者攻击了最终效果，正确答案上会有个“”：