美文网首页
[羊毛党]iPhone技术的薅ofo羊毛

[羊毛党]iPhone技术的薅ofo羊毛

作者: xun404 | 来源:发表于2017-04-29 00:51 被阅读0次

    0x00 前言

    共享单车打的火热,摩拜和ofo相继推出了红包车,初衷是让用户合理骑车和把“僵尸车”从小区角落骑出来;但是因为ofo无法对机械锁实现准确的定位和开关状态的判断,导致ofo的红包车成了“羊毛党”的大肥羊。

    0x01 准备

    1. 获取ofo登录token

      至于怎么获取到登录token,只需要打开网页版ofo,然后正常登录,在cookie中找key为ofo-tokened的即可,为一个uuid,并且基本不会过期。

    2. 确定红包区

      根据尝试,一般小区为红包区的可能性比较大,特征如下出现一片红包甚至出现叠加。

      确定红包区域
    3. 获取此地区坐标
      ofo使用的是高德地图,所以,地图上的坐标与高德展示的一模一样。

      在高德地图上找到这个位置,右键选择这是哪儿

      在高德上找坐标-1

      然后选择更多->分享,复制分享链接,并在浏览器里打开。

      在高德上找坐标-2

      可以发现分享链接被转为了含有lnglng的链接,这两个就是坐标,保存下来。

      在高德上找坐标-3

      至此,所有准备工作都完成。

    0x02 薅羊毛

    既然是技术的薅羊毛,当然就不会使用 gps位置模拟器 这类东西;我们直接请求ofo的创建订单接口即可。当然也可以配合结束接口``支付接口抢红包接口,自行写个自动化脚本。

    先大概说明下这个创建订单接口:

    curl --request POST \
      --url https://san.ofo.so/ofo/Api/v2/carno \
      --header 'content-type: application/x-www-form-urlencoded' \
      --data 'accuracy=100.00000&altitude=40.11111&carno=1234567&lat=39.943589&lng=116.372412&source=2&source-version=12412&speed=-1.000000&tag=&token=xxxxxxx-xxxx-xxxx-xxxx-xxxxxxx&source-system=7.1.1&source-model=xiaomi_6plus'
    
    -------
    carno: 车牌号,最好从最近行程中找,并且是机械锁
    lat和lng对应上面的高德地图的lat和lng
    token:对应上面获取到的网页的`ofo-tokened`
    只要关注上面的几个参数就行
    

    当然实用postman等这类http调试客户端也是可以的,这里我直接用shell演示了。

    如果返回如下字段,则说明薅羊毛成功,10分钟后只需要在客户端上结束即可。

    查看返回结果

    0x03 一些你必须知道的事情

    目前法律范围内,对于“羊毛党”并无专门的规定及认定,因此只能提升技术力量,对“骗补”行为进行识别和介入。

    “薅羊毛实质上是一种欺诈行为,涉嫌违法”,在“薅羊毛”过程中,行为人虚构“骑行”的事实,非法获取平台为用户补贴的红包,只是由于金额较低,往往无法对其进行有效制裁。

    相关文章

      网友评论

          本文标题:[羊毛党]iPhone技术的薅ofo羊毛

          本文链接:https://www.haomeiwen.com/subject/ugtzzttx.html