通用型微信抢红包神器

lovees

本篇文章记录 2015年初时利用微信网页版红包 H5 接口实现的通用型平台抢红包神器，不同于目前市面上的抢红包外挂（模拟点击、HookAPI等）方式，当然该漏洞在15年3月便已经修复。
WebAPI
我们在使用网页版微信时无法点击领取红包，但是通过控制台查看网络包发现红包地址在 Response 中：
https://wxapp.tenpay.com/app/v1.0/receive.cgi?showwxpaytitle=1&sendid=1000033901********10153974107&channelid=1&msgtype=1&ver=2&sign=aefc0f0fadb6f09993fb071bf3****************9b4d8020f07c351c4bb6489d60d65f7f9fb2622f977fa613cbe443f6c7279f03fff2aff18859674c978656ed45388e3f606eae42a0f8ef9014f1***********21e055163c935
299000ec8b975733c3e.jpg (34.09 KB, 下载次数: 0)

2016-2-27 05:04 上传

点击文件名下载附件

当群组或者用户给我们发红包时可以在返回内容中可以看到红包的 URL 地址（手机端老版本的微信是使用 H5 的接口领取红包，而无法自动判断用户发来的消息是否为红包，网页版本微信解决了判断是否为红包消息的问题，并且能获取 URL）。
直接在浏览器访问获取到的红包 URL，提示来源错误。任何 HTTP 请求重放都是简单的，之后使用 Mitmproxy 获取手机抢红包时的 Cookie,User-Agent 等 Header 头，然后进行重放包是可以成功领取红包的。
27c000f5704a27f71d3.jpg (22.58 KB, 下载次数: 0)

2016-2-27 05:04 上传

点击文件名下载附件

Process
流水线：
使用 JavaScript 对微信网页版 Hook 实时监听，判断收到消息是否为红包，如果是则匹配；
使用 Mitmproxy 对手机端进行抓包，获取 Header 信息；
利用获取到的头信息填充至开始获得到的红包地址，领取红包；
自动化：
编写填充头信息以方便打开红包的 Python 脚本；
编写实时监控浏览器中网络传输红包数据的 JavaScript 脚本；
考虑方便本机搭建 Mini Django 项目，在获取到红包 URL 后自动发送请求给后端抢红包[1]；
...
效果图：
29d00031c21539d48e8.jpg (15.68 KB, 下载次数: 0)

2016-2-27 05:05 上传

点击文件名下载附件

Code

1. wechat_web_hook.js:
   
2. /*
   
3. * HookJS @ evi1m0, fyth, erevus.
   
4. * Datetime @ 2015
   
5. */
   
6. 
   
7. $._ajax = $.ajax;
   
8. 
   
9. function check(c){
   
10. var AddMsgList = c.AddMsgList;
    
11. if (AddMsgList) {
    
12. AddMsgList.forEach(function(elem, index){
    
13. var str = '';
    
14. str = elem.Url || '';
    
15. var bingo = /https:\/\/wxapp.tenpay.com/.test(str);
    
16. if(bingo) {
    
17. str = str.replace(/amp;/g, '')
    
18. console.log(str);
    
19. $.post('http://localhost:1234/wechat', {url: str})
    
20. }
    
21. });
    
22. }
    
23. }
    
24. 
    
25. function a(e, n){
    
26. e._s = e.success;
    
27. e.success = function(data) {
    
28. try{
    
29. check(data, this);
    
30. this._s.apply(this, arguments);
    
31. }
    
32. catch(e){
    
33. 
    
34. }
    
35. }
    
36. c = $._ajax(e, n);
    
37. return c;
    
38. }
    
39. $.ajax = a;
    
40. views.py
    
41. #!/usr/bin/env python
    
42. # author : evi1m0, rains
    
43. # datetime: 201502
    
44. 
    
45. from django.shortcuts import render
    
46. from django.http import HttpResponse
    
47. 
    
48. import re
    
49. import sys
    
50. import json
    
51. import time
    
52. import base64
    
53. import urllib
    
54. import urllib2
    
55. import requests
    
56. 
    
57. def index(request):
    
58. url = 'http://www.baidu.com'
    
59. req = urllib2.urlopen(url)
    
60. content = req.read
    
61. return HttpResponse(content)
    
62. 
    
63. 
    
64. def open(request, url):
    
65. url = urllib.unquote(url).replace('amp;', '')
    
66. print url
    
67. cookie = "test "
    
68. return HttpResponse(_money(url, cookie))
    
69. 
    
70. 
    
71. def _money(url, cookie):
    
72. headers_fake = {'User-Agent': ("Mozilla/5.0 (Linux; U; Android 4.2.2; zh-cn; Galaxy Nexus - 4.2.2 - with Google Apps"
    
73. "- API 17 - 720x1280 1 Build/JDQ39E) AppleWebKit/534.30 (KHTML, like Gecko)"
    
74. "Version/4.0 Mobile Safari/534.30 MicroMessenger/5.3.0.80_r701542.440"),
    
75. 'X-Requested-With': 'com.tencent.mm',
    
76. 'Cookie': cookie,
    
77. }
    
78. 
    
79. try:
    
80. req_key_content = requests.get(url, headers=headers_fake).content
    
81. except Exception,e:
    
82. print e
    
83. 
    
84. try:
    
85. g_sendld = re.findall('g_sendId: "(.*?)",', req_key_content)
    
86. g_sendnick = re.findall('g_sendNick: "(.*?)",', req_key_content)
    
87. g_detailtoke = re.findall('g_detailToke: "(.*?)",', req_key_content)
    
88. g_detailtoke = (g_detailtoke[0])
    
89. except Exception, e:
    
90. print '[-] Error: %s' % str(e)
    
91. return False
    
92. 
    
93. sign_key = (str(url.split('&')[-1:]).split('=')[1])[:-2]
    
94. receive_url = ("https://wxapp.tenpay.com/app/v1.0/wxhb_open.cgi?msg_type=&send_id=%s&channel_id=&detailToke=%s&scene="
    
95. "&us=&sign=%s&attention=0&hb_version=v2&ver=2&isappinstalled=0&clientversion=25030050&devicetype=android"
    
96. "-17")
    
97. receive_url = receive_url % (g_sendld[0], g_detailtoke[:-4]+'%3D', sign_key)
    
98. # LOLLLLLLLLLLLLLLLLLLLLLLLLL
    
99. time.sleep(1)
    
100. receive_content = requests.get(receive_url, headers=headers_fake).content
     
101. 
     
102. try:
     
103. return_json_data = json.loads(receive_content)
     
104. if return_json_data['retmsg'] == 'ok':
     
105. money_count = return_json_data['amount'] * 0.01
     
106. print '[+] Success: %s
     
107. 
     
108. 文中部分代码和图片因时间无法全面提供，修复后不再传输红包地址：
     
109. 29c0004f1cae554cd4a.jpg (95.51 KB, 下载次数: 0)
     2016-2-27 05:06 上传

     点击文件名下载附件
     
     
110. 如果你要问现在还有没有新的方法，嗯是有的。
     
111. 
     
112. % money_count
     
113. return money_count
     
114. else:
     
115. print '[-] Status: %s' % return_json_data['retmsg']
     
116. except Exception, e:
     
117. print str(e)
     
118. End

复制代码

文中部分代码和图片因时间无法全面提供，修复后不再传输红包地址：

如果你要问现在还有没有新的方法，嗯是有的。

598440119

你到底想说什么

lovees

水一贴而已！！！！！！！！！水水水！～！～！～！～！

斜阳晚暮

首先要能加入土豪群。
不然吊死和吊死在一起，抢个毛。

lovees

:lol:lol
必须的！！！！！！！！！

yjlml

我想说 手机上早就有插件了！   只要有网络 有人发红包都会自动抢   
微信也不需要你开着   锁屏着一样可以自动抢

ggnyj2007

网上的插件不敢用，后门大大的

气味

不明觉厉

loveni

不懂玩

叫妇

大水逼