分享：如何刺探竟争对手mobi offer的小秘密

Xiao小兵 · 发表于 2015-11-30 12:11:28

本帖最后由 Xiao小兵于 2016-11-7 17:20 编辑

mobi必备工具之一:

一试便知..别说是我说的啊，某人开发的,去掉链接中的@即可

罗曼蒂克 · 发表于 2015-11-30 13:37:16

有这么牛叉的工具

老刘 · 发表于 2015-11-30 15:34:09

本帖最后由老刘于 2015-11-30 15:46 编辑

这个漏洞危害太大了...

IM最终跳转没有二次校验,全被抓包了

PS: 求防范措施.
如果知道是哪个文件,先删除保菊花

801023 · 发表于 2015-11-30 15:42:11

太牛逼了，我跑过的都抓出来了

Xiao小兵 · 发表于 2015-11-30 16:24:54

哈哈哈，爆你菊花没商量

老刘 · 发表于 2015-11-30 16:50:04

查出来了, 是go.php 被爆.

如果是跑直链的,建议删除go.php .

否则菊花不保

Xiao小兵 · 发表于 2015-11-30 16:55:34

老刘发表于 2015-11-30 16:50. D. e# N7 U& J4 S& \- `' {1 R
查出来了, 是go.php 被爆.
! m$ v8 r% d9 U% U, M/ t1 Z, {. \% H0 B3 M. N# T( A
如果是跑直链的,建议删除go.php .

怎么查出来的？你都跑直链吗？

ponytail · 发表于 2015-11-30 17:08:50

有意思
3.8受影响不？

wilfish · 发表于 2015-11-30 17:26:09

哇塞，我要换追踪

wilfish · 发表于 2015-11-30 17:34:58

老刘发表于 2015-11-30 16:50! u- K! f d9 }- q( @/ C
查出来了, 是go.php 被爆.4 V+ M% _- W2 n3 U; K* ?" p4 I

( t+ L+ S: n, T& l1 i. ^, T$ y如果是跑直链的,建议删除go.php .

正版的也有这个问题？

xz2013 · 发表于 2015-11-30 17:35:34

老刘发表于 2015-11-30 15:34, r) }1 [9 L! B3 X
这个漏洞危害太大了...
2 N; h% Q* n s, G4 E8 j9 L% N) ?3 U" x
IM最终跳转没有二次校验,全被抓包了

删了后不影响正常跳转吧吧

xz2013 · 发表于 2015-11-30 17:42:18

wilfish 发表于 2015-11-30 17:26) b& x: t& R" \ B8 q6 z3 I
哇塞，我要换追踪

这个又入侵不到服务器吧！不怕·　·　知道跑什么ＯＦＦＥＲ　有什么大不了··　又不知道哪里跑　也不知道我的　白名单！

老刘 · 发表于 2015-11-30 17:42:35

结贴分析:

作者拿到了tracking.php里面的固定密匙(IM没有用数据库里面生成的KEY,败在这里), 解密了生成的cookie,然后调用go.php抓包offer

sadffg · 发表于 2015-11-30 20:09:28

我啥也没看到，打开楼主网址404

aabbccli · 发表于 2015-11-30 21:26:36

sadffg 发表于 2015-11-30 20:09, q$ m5 `+ M9 @
我啥也没看到，打开楼主网址404

http://www@大人4date@com/pub/getofferen.html 试试这个,页面留的是QQ邮箱,这是论坛的那谁写的吧

		自动登录	找回密码
密码			立即注册

谷歌+Bing+TT+MSN官方代理	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	需要代理IP?⚡️Proxysites.ai⚡️	指纹浏览器，就用AdsPower
Mediabuy⚡️玩家开户首选	【鲁班跨境通-自助充值转账】	FB/GG/TT❤️官方免费开户	Affiliate 全媒体流量资源⚡️
Taboola/Outbrain /Bing⚡️一级代理	*开户投流-724h❤️人工在线**	【官方】❤️搜索套利买量投流开户	独立站⚡️开户投放
FB BM不限额，短id账单户	E.PN 虚拟卡	DuoPlus专注打造跨境电商云手机	BINOM TRACKER 60% OFF!
比Adplexity还好用的Spy工具	ADPLEXITY + ADVERTCN	7200W全球动态不重复住宅IP代理	虚拟信用卡+独立站收款
全球虚拟卡, 支持U充值	Facebook 批量上广告	尤里改 - FB 稳定投放	免费黑五教程（持续更新、欢迎交流）
FB 三不限源头 - 自助下户充值转款	各种主页、账单户、BM户（优势）	⚡️个人户，bm户不限额，账单户	9Proxy ⚡️ $0.04/IP, 无限带宽
IPCola原生住宅IP⚡️$2.1/条双ISP	Google、Bing官方总代联盟流量开户	fb耐用号0.01一个	fb账号官方合作商
FB资源，账单户，分享户，国内一手	FB企业户BM户账单户源头	试试Mybid的顶级广告模式	Mybid让你的流量赚更多的钱
全球超2亿的动/静态纯净住宅IP	GeeLark 最强云手机+指纹浏览器	Facebook/TikTok24h免费开户服务	招exoclick/TJ等国际联盟代投运维
火云指纹浏览器⚡️10个环境免费⚡️	IPWO全球住宅代理⚡️免费测试⚡️	FB海外三不限-户源多费率低	谷歌+Bing+TT+MSN官方代理
广告位出租

[闲聊] 分享：如何刺探竟争对手mobi offer的小秘密

评分

相关帖子

点评

点评

点评

点评

点评

点评

社区QQ达人