0x00 前言
共享单车打的火热,摩拜和ofo相继推出了红包车,初衷是让用户合理骑车和把“僵尸车”从小区角落骑出来;但是因为ofo无法对机械锁实现准确的定位和开关状态的判断,导致ofo的红包车成了“羊毛党”的大肥羊。
0x01 准备
-
获取ofo登录token
至于怎么获取到登录token,只需要打开网页版ofo,然后正常登录,在cookie中找key为
ofo-tokened的即可,为一个uuid,并且基本不会过期。 -
确定红包区
根据尝试,一般小区为红包区的可能性比较大,特征如下出现一片红包甚至出现叠加。
确定红包区域
-
获取此地区坐标
ofo使用的是高德地图,所以,地图上的坐标与高德展示的一模一样。在高德地图上找到这个位置,右键选择
这是哪儿
在高德上找坐标-1
然后选择
更多->分享,复制分享链接,并在浏览器里打开。
在高德上找坐标-2
可以发现分享链接被转为了含有
lng和lng的链接,这两个就是坐标,保存下来。
在高德上找坐标-3
至此,所有准备工作都完成。
0x02 薅羊毛
既然是技术的薅羊毛,当然就不会使用 gps位置模拟器 这类东西;我们直接请求ofo的创建订单接口即可。当然也可以配合结束接口``支付接口及抢红包接口,自行写个自动化脚本。
先大概说明下这个创建订单接口:
curl --request POST \
--url https://san.ofo.so/ofo/Api/v2/carno \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'accuracy=100.00000&altitude=40.11111&carno=1234567&lat=39.943589&lng=116.372412&source=2&source-version=12412&speed=-1.000000&tag=&token=xxxxxxx-xxxx-xxxx-xxxx-xxxxxxx&source-system=7.1.1&source-model=xiaomi_6plus'
-------
carno: 车牌号,最好从最近行程中找,并且是机械锁
lat和lng对应上面的高德地图的lat和lng
token:对应上面获取到的网页的`ofo-tokened`
只要关注上面的几个参数就行
当然实用postman等这类http调试客户端也是可以的,这里我直接用shell演示了。
如果返回如下字段,则说明薅羊毛成功,10分钟后只需要在客户端上结束即可。
查看返回结果
0x03 一些你必须知道的事情
目前法律范围内,对于“羊毛党”并无专门的规定及认定,因此只能提升技术力量,对“骗补”行为进行识别和介入。
“薅羊毛实质上是一种欺诈行为,涉嫌违法”,在“薅羊毛”过程中,行为人虚构“骑行”的事实,非法获取平台为用户补贴的红包,只是由于金额较低,往往无法对其进行有效制裁。
网友评论