最近收到一名粉丝提供的赌博网站线索。我打开后发现,这个网站的界面已经有多个粉丝向我提供过。我翻看历史记录整理后发现,这些域名下的网站所使用的源码都相同。
我在其中一个网站注册了账号,并在其他网站上进行登录,发现账号能顺利登陆。我又查看了各个域名对应的IP,发现IP并不相同。查看了网站的响应头,发现网站并没有使用CDN,因此可以得出结论。
这些网站应该用的是同一个数据库,前端页面分布在不同的服务器,很有可能是一个团伙。所谓网站上的游戏非常多,简直就是一个小游戏网站,唯一不同的是每个游戏都要花钱。
为了摸清网站的运作模式,我点开了一款叫某某猴子的老虎机游戏,尝试启动游戏,系统提示我余额不足,充钱是不可能的。经过观察,系统提示金额不足时,并没有向服务器提交数据,可以肯定是在前端进行了金额判断。经过一番逆向操作,得出如下结论:
·1.金额数据通过WSS协议获取。
·2.wss协议发送的是字节型数据。
·3.消息的第四个字节开始是消息的证明,转成UTF 8字符串后是一个杰森字符串。
·4.杰森对象里面多个值为0的字短,且经过混淆,最后发现字断而是金额。
分析之后我修改了响应数据中的余额,改成了10.2元,不管成不成先假装自己有钱。
再次启动游戏,游戏顺利地赚了起来。令我惊讶的是我的余额居然从10.2元变成了9.4元。我一度怀疑是自己看错了。我新建隐私窗口重新登录,发现首页上确实变成了9.4元。
