V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nmap
V2EX  ›  程序员

通过公众号或者小程序抢票的技术原理是什么?

  •  
  •   nmap · 2022-10-11 16:13:50 +08:00 · 4940 次点击
    这是一个创建于 784 天前的主题,其中的信息可能已经有所发展或是发生改变。
    仅从技术角度讨论,不涉及其他

    场景:
    朋友抢不到汽车票,找到技术高手 A ,A 研究之后认为可行,
    让朋友手机设置代理地址(好像还涉及证书之类操作),还说最好用 iphone ,
    到了抢票时间点,通过代理和往常一样访问,很容易就抢到了,
    最后朋友给 A 买了奶茶致谢。
    从技术男的角度,很想知道 A 在代理上做了些什么?
    23 条回复    2022-10-12 17:37:50 +08:00
    letitbesqzr
        1
    letitbesqzr  
       2022-10-11 16:16:33 +08:00
    比较常见的操作:修改接口返回的“开始时间”,可以提前进入下一个页面,比别人快一步...
    Mithril
        2
    Mithril  
       2022-10-11 16:17:44 +08:00   ❤️ 1
    如果我是 A ,那么有几种情况。
    不想费事的话,就弄个代理。抢到了白赚一杯奶茶,抢不到是你运气不好。
    想费点事的话,套个 fiddler 啥的,看着它请求要是没成功就一直发。
    letitbesqzr
        3
    letitbesqzr  
       2022-10-11 16:18:35 +08:00   ❤️ 2
    根据实际情况,代理可以做的太多了,比如系统准点要卡顿,代理可以直接返回某些接口返回的内容。

    比如抢门票,进入购买页面,首先要请求接口加载 “门票详情”,高峰期的时候,加载这个就要花很长时间。这个固定的内容,代理可以直接返回回去,不请求服务器了。
    cjpjxjx
        4
    cjpjxjx  
       2022-10-11 16:21:21 +08:00 via iPhone   ❤️ 5
    “500 包生男孩,无效全额退款”
    liuidetmks
        5
    liuidetmks  
       2022-10-11 16:22:03 +08:00
    @letitbesqzr 抢优惠券应该有人是这样,每次我都抢不到。
    taoshaoz1
        6
    taoshaoz1  
       2022-10-11 16:28:15 +08:00
    同问,还有 Nike 阿迪那些抢鞋的,,是否也可以以同样方式实现
    laolaowang
        7
    laolaowang  
       2022-10-11 16:28:51 +08:00
    我猜测抓包,控制好频次无脑请求吧?
    registerrr
        8
    registerrr  
       2022-10-11 16:37:23 +08:00
    只要能抓到请求地址,下单就像钥匙插门锁开门一样轻松自在。
    op351
        9
    op351  
       2022-10-11 16:46:33 +08:00   ❤️ 5
    就是 fiddler
    fiddler 抓包改包可玩的很多
    比如改发送的请求 改返回的请求之类的
    要装证书就是为了解码 https
    如果是 http 的话甚至不用证书
    但安卓就很麻烦了 安卓现在限制了用户自安装证书的权限
    导致用户无法通过自安装 fiddler 的证书解码 https
    除非 root 并安装面具之类的插件把证书转化为系统证书才行
    这也就是为什么要用 iphone 因为 iphone 没有这种限制
    xinJang
        10
    xinJang  
       2022-10-11 17:21:14 +08:00
    学到了 我一会就去抢茅台
    PMR
        11
    PMR  
       2022-10-11 17:27:00 +08:00 via Android
    Proxy 和 server 在同 idc
    tutou
        12
    tutou  
       2022-10-11 17:36:50 +08:00
    @xinJang 某东有黑名单,小心进黑名单
    jjjiong
        13
    jjjiong  
       2022-10-11 17:42:26 +08:00
    之前为了帮女朋友抢 hpv 疫苗,修改了某医院的剩余疫苗数,还真的收到了预约成功的短信。。。不过后面进黑名单就取消了
    dtdths1
        14
    dtdths1  
       2022-10-11 17:59:18 +08:00
    之前用代理帮朋友刷网课,直接修改人脸识别接口返回值绕过检测,然后提交学习进度数据,小赚一顿饭
    nyxsonsleep
        15
    nyxsonsleep  
       2022-10-11 18:54:39 +08:00
    @jjjiong 为什么进黑名单的。。。
    bridgeca0
        16
    bridgeca0  
       2022-10-11 19:24:26 +08:00
    分析抢票网络请求,手机装证书设置代理是要拿到账号 cookie 吧,然后再写个抢票脚本
    nmap
        17
    nmap  
    OP
       2022-10-11 22:59:58 +08:00
    @jjjiong #13
    @dtdths1 #14
    两位能讲讲技术原理吗?😊
    jjjiong
        18
    jjjiong  
       2022-10-12 08:04:36 +08:00 via Android
    @nyxsonsleep 打错了,是怕进黑名单…
    jjjiong
        19
    jjjiong  
       2022-10-12 08:05:54 +08:00 via Android
    @nmap 就是 @op351 大佬说的抓包然后修改参数
    dtdths1
        20
    dtdths1  
       2022-10-12 09:55:48 +08:00
    @nmap 这种简单的就是观察用了哪些接口,然后通过代理修改请求参数和返回值
    mlhadoop
        21
    mlhadoop  
       2022-10-12 14:11:46 +08:00   ❤️ 2
    网站没做防御的话,抓包后进行无限重放请求
    whoami9894
        22
    whoami9894  
       2022-10-12 15:56:42 +08:00
    应该是 A 那边提前维护了 TCP 链接池。

    如果按楼上说的,直接要账号密码写脚本抢不就行了,有什么必要让不懂技术的人设代理。
    nmap
        23
    nmap  
    OP
       2022-10-12 17:37:50 +08:00
    @letitbesqzr #3
    @op351 #9
    按两位大佬所说,在代理上修改请求响应的包内容,
    但是这只能对抗比较初级的系统吧,
    比如系统可以加入签名 sign 值,改了内容就无效了,
    还有客户端可以验证服务器证书,发现是 fiddler 证书也无效
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1095 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:23 · PVG 03:23 · LAX 11:23 · JFK 14:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.