魔站网站开发,wordpress 3.3.1,15年做那些网站致富,2018年网站风格本文转载于#xff1a;https://www.freebuf.com/vuls/371936.html 准备工作 因为目标站点只能用微信打开#xff0c;微信又不能调试看代码。这里推荐可以使用pc端旧版微信3.2.1#xff0c;具体方法放链接里#xff1a; https://blog.csdn.net/qq_45863248/article/details/…本文转载于https://www.freebuf.com/vuls/371936.html 准备工作 因为目标站点只能用微信打开微信又不能调试看代码。这里推荐可以使用pc端旧版微信3.2.1具体方法放链接里 https://blog.csdn.net/qq_45863248/article/details/127688137 需要注意的是如果作者方法未生效可以把pak文件放微信安装目录再重启试试。 看到Show DevTools就说明成功啦 开始测试 首先看到微信小游戏先游戏流程先走一遍抓个包。在手机微信上点击开始游戏 把上面的图形对应滑到下面的棒冰上制作成功棒冰1 每制作一根棒冰发送一个包我这里制作了两个 页面倒计时结束后变量boxNum统计制作了多少根棒冰然后发送 这里我们看到boxNum参数是加密了的有理由怀疑最终制作个数就是由boxNum来控制的 打开pc端旧版微信调试工具全局搜索发现并未找到这个变量 懵了我还以为出了什么问题反复找了半天发现也并没有游戏相关的js。在旧版pc端微信点开始游戏抓包终于是发现了game.js全局搜索boxNum居然在这里。与之前不同的是它不会一次性加载显示所有js游戏开始后才加载的。 分析加密逻辑直接找f函数搜索function f 发现是AES加密自定义了icon1icon2两个未知变量需要加密就必须知道这两个变量同样在这个game.js和之前的js里均未搜到这两个变量。于是游戏里继续抓包发现rem.js看到icon1、icon2均是固定的。 这下好办了直接本地环境搭起来先试试开头的我制作的棒冰数量2加密与数据包对比一下。 完全一样测试结束。
