渗透之实例破解

昨天一个漂亮的高中同学突然叫我，说被别人骗了钱，让我帮帮忙，美女的忙，充满正义感的我向来是不会推脱的。（另外我还是有点喜欢她，虽然是上学时期的事了，但现在印象还是很好地。要是通过这次帮忙，对我的印象有了极大的提高，成就一段美满的爱情，又何尝不是一段佳话……） 通过了解，我同学以前就有打麻将、打牌的爱好，每逢过节回家，都和邻家小妹在一起玩。由于疫情期间，同学无法正常上班，在家无聊就和邻家小妹在一起长达3个多月的娱乐，为了增加娱乐性，偶尔的还会有金钱上的“付出”，也不是很多，5毛、1块，多的时候5块、10块的。每天熬夜到清晨（友情提示，长时间熬夜对身体不好哦）。期间输了不少钱，由于邻家小妹的复工，缺少打牌的伙伴。我同学在QQ群里看到了玩游戏还能赚钱，就动了心思。进入游戏提示余额1000元，同学一时眼红，最近输了这么多钱，想着尽快提现。于是就开启了这次误入“菠菜”的事件。

要出了同学和菠菜客服的对话，看一看同学是怎么一步一步掉入陷阱的……

身为发哥头号影迷的我，在看完《赌神》中发哥的高超千术真是惊叹不已，现实中赌场也不缺这种千术高手，真的是十赌九输，任人宰割。那么线上赌博的背后又有什么秘密呢！今天就带大家探索一下。

通过同学提供的网站，下载app后发现是一个菠菜网站app

我们下载一个app实例分析一下，通过抓包分析看到一个url地址。该URL地址还采用了MD5+base64加密双层加密，通过解码后还原了真实的通讯地址。

我们打开url地址发现是一个web端网站，通过观察发现app内的功能与web端功能一致，为了测试方便我们从web端入手。

register.php   注册页面
login2page.php 登录页面
contactus.php 客服页面

使用万能密码、sql注入、存储xss等漏洞检测登录页面和注册页面未发现漏洞。 在客服页面发现一个邮箱账号，对该邮箱账号进行google、github搜索未收集到更多信息，不开森……与客服小妹的距离又远了一步。