本篇中使用到了的一些工具,压缩包请大家执行搜索。
骚年,还在等什么,最高4999的大红包等着你。
刮奖界面如上,如果支付宝钱包都不知道在哪的同学,你就OUT了。
1、在android手机上进行HTTP抓包;
请参见该博客进行tcpdump 操作
android平台tcpdump wireshark 网络数据抓包(综合)
将抓包的pcap文件导出到PC上使用wireshark进行分析,剪短分析:http://d.alipay.com/xqb/result.htm?isnewuser=T,这个URL应该就是刮奖界面请求。
进一步分析,页面是有会话管理的,同时返回结果是GZIP压缩的。
2、根据上述的分析进行java 模拟HTTP发送过程
使用 HTTPClient 包来进行开发
this.method_get = new HttpGet(URI.create(url));
method_get.addHeader("Connection", "keep-alive");
method_get .addHeader(
"User-Agent",
"Mozilla/5.0 (Linux; U; Android 4.0.3; zh-cn; HUAWEI C8812 Build/HuaweiC8812) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30");// Mozilla/5.0
/* 这几个头文件是进行模拟发送leshou主页的HTTP头,缺了这些头就模拟添加失败的 */
//method_get.addHeader("Content-Type", "application/x-www-form-urlencoded");//
method_get.addHeader("Host", "d.alipay.com");//
method_get.addHeader("Referer", "http://d.alipay.com/xqb/result.htm?isnewuser=T");//
method_get.addHeader("Accept",
"text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");//
method_get.addHeader("Accept-Language", "zh-CN, en-US");//
method_get.addHeader("Accept-Charset", "utf-8, iso-8859-1, utf-16, *;q=0.7");//
method_get.addHeader("Accept-Encoding", "gzip,deflate");//
method_get.addHeader("Cookie", "JSESSIONID=xxxxxxxxxxxxxxx; " +
"JSESSIONID=xxxxxxxxxxxxxxxxxxx; " +
"ALIPAYJSESSIONID=xxxxxxxxxxxxxx; " +
"ctoken=xxxxxxxxxxxx; " +
"JSESSIONID=xxxxxxxxxxxxx");
Cookie中的这几个会话id,使用你从tcpdump中抓取的对应数据填入,同时为了保证模拟的长时间持续进行,需要设置httpclient策略为浏览器兼容模式,以便
随时接受系统的sessionid的更新。
HttpClientParams.setCookiePolicy(client.getParams(),
CookiePolicy.BROWSER_COMPATIBILITY);
解析出来的数据,如下:
<body>
<div class="banner"></div>
<div class="btn_bottom_text">
<div class="btn_bottom_text1">刮奖区</div>
<div class="btn_bottom_text2"><a href="details.htm?isnewuser=T">活动规则</a></div>
</div>
<div class="tombola">
<div id="wrapper">
<div id="output">
<div class="board">
<div id="J-texLazy" style="display:none;">
<p> 亲,你未中奖!你一定是没洗手!洗个手再来吧!</p>
</div>
<canvas id="myCanvas" width="300px" height="100px" background="#f1f1f1" styel="background:#ffffff;"></canvas>
</div>
</div>
</div>
</div>
<div class="btn_bottom_text2" style="color:#f5e368;text-align: center;padding-top:10px"><a href="http://d.alipay.com/xqb/result.htm?isnewuser=T" style="color:#f5e368;">刮完再来一次</a></div>
<script src="http://static.alipayobjects.com/u/js/201311/1RYLwNxIkH.js"></script>
<script>
setTimeout(function(){
$("#J-texLazy").css("display","block")
},1000);
</script>
</body>
</html>
就是说该页面返回的时候是确切的知道你有没有抽到红包的。
本文只做原理性的概念介绍,源码就不留了,各位勿喷。运行了半天目前还没有抽到,看样子中奖概率不高哇!
分享到:
相关推荐
技术使用本文中定义的同一 API,但它们有着不同的物理层和链路层。 在以太网解决方案中,RoCE 相对于 iWARP 来说有着明显的优势,这些优势 体现在延时、吞吐率和 CPU 负载。RoCE 被很多主流的方案所支持,并且被...
RDMA C programming examples
安全客发布的2019年第四季度网络安全季刊,为一系列安全文章集合,包含ATT&CK高级威胁模型相关文章、几个典型漏洞细节分析、政企安全以及安全研究随笔文章
安全客发布的2016年网络安全季刊第二部分,包含物联网、车联网领域、五线安全、移动安全、云安全相关安全技术,以及多个木马工具的分析报告
基于RBAC模型构建权限管理模块,并集成安全框架SpringSecurity,实现用户的认证和授权。 使用Spring Data集成缓存中间件Redis,加快访问速度。 使用Spring Data集成全文搜索搜索引擎ElasticSearch,实现文章信息的...
awesome-geek-podcasts-master.rar
资源来自pypi官网。 资源全名:geek-0.1.0-py3-none-any.whl
资源分类:Python库 所属语言:Python 资源全名:Artist_Engineering_Geek-0.0.7-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
安全客发布的2018年第四季度网络安全季刊,为一系列安全文章集合,包含物联网安全相关议题、几个典型漏洞细节分析、高级APT威胁报告以及安全研究和运营等文章
geek最新版-一个非常给力的卸载软件
geek免费版-amp;amp;专业版.bin
安全客发布的2017年第三季度网络安全季刊,为一系列安全报告集合,包含BlackHat2017相关议题、Android、IOT相关漏洞分析、木马分析、安全研究和运营等相关主题
geek-spring-part-one-01-25
安全客发布的2020年第一季度网络安全季刊,为一系列安全文章集合,包含线上安全视角、几个典型漏洞细节分析、政企安全以及安全研究等文章
安全客发布的2020年第二季度网络安全季刊,为一系列安全文章集合,包含政企安全相关议题、机器学习、漏洞分析报告以及安全研究等文章
安全客发布的2018年第二季度网络安全季刊,为一系列安全报告集合,包含区块链安全相关议题、第二季度安全事件、web无线二进制相关安全研究、木马分析、漏洞分析和黑产攻防等相关主题
基于spring boot上的注解缓存,自带轻量级缓存管理页面。@Cache比spring cache更轻量的缓存,支持单个缓存...采用fastjson序列化与反序列化,以json串存于缓存之中。ace-cache可以快速用于日常的spring boot应用之中。