0x00 前言
共享單車打的火熱,摩拜和ofo相繼推出了紅包車嚷闭,初衷是讓用戶合理騎車和把“僵尸車”從小區(qū)角落騎出來悔醋;但是因為ofo無法對機械鎖實現(xiàn)準確的定位和開關狀態(tài)的判斷,導致ofo的紅包車成了“羊毛黨”的大肥羊卤恳。
0x01 準備
-
獲取ofo登錄token
至于怎么獲取到登錄token,只需要打開網頁版ofo寒矿,然后正常登錄突琳,在cookie中找key為
ofo-tokened的即可,為一個uuid劫窒,并且基本不會過期本今。 -
確定紅包區(qū)
根據(jù)嘗試,一般小區(qū)為紅包區(qū)的可能性比較大,特征如下出現(xiàn)一片紅包甚至出現(xiàn)疊加冠息。
確定紅包區(qū)域 -
獲取此地區(qū)坐標
ofo使用的是高德地圖挪凑,所以,地圖上的坐標與高德展示的一模一樣逛艰。在高德地圖上找到這個位置躏碳,右鍵選擇
這是哪兒在高德上找坐標-1然后選擇
更多->分享,復制分享鏈接散怖,并在瀏覽器里打開菇绵。在高德上找坐標-2可以發(fā)現(xiàn)分享鏈接被轉為了含有
lng和lng的鏈接,這兩個就是坐標镇眷,保存下來咬最。在高德上找坐標-3至此,所有準備工作都完成欠动。
0x02 薅羊毛
既然是技術的薅羊毛永乌,當然就不會使用 gps位置模擬器 這類東西;我們直接請求ofo的創(chuàng)建訂單接口即可具伍。當然也可以配合結束接口``支付接口及搶紅包接口翅雏,自行寫個自動化腳本。
先大概說明下這個創(chuàng)建訂單接口:
curl --request POST \
--url https://san.ofo.so/ofo/Api/v2/carno \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'accuracy=100.00000&altitude=40.11111&carno=1234567&lat=39.943589&lng=116.372412&source=2&source-version=12412&speed=-1.000000&tag=&token=xxxxxxx-xxxx-xxxx-xxxx-xxxxxxx&source-system=7.1.1&source-model=xiaomi_6plus'
-------
carno: 車牌號人芽,最好從最近行程中找望几,并且是機械鎖
lat和lng對應上面的高德地圖的lat和lng
token:對應上面獲取到的網頁的`ofo-tokened`
只要關注上面的幾個參數(shù)就行
當然實用postman等這類http調試客戶端也是可以的,這里我直接用shell演示了萤厅。
如果返回如下字段橄抹,則說明薅羊毛成功,10分鐘后只需要在客戶端上結束即可祈坠。
0x03 一些你必須知道的事情
目前法律范圍內害碾,對于“羊毛黨”并無專門的規(guī)定及認定矢劲,因此只能提升技術力量赦拘,對“騙補”行為進行識別和介入。
“薅羊毛實質上是一種欺詐行為芬沉,涉嫌違法”躺同,在“薅羊毛”過程中,行為人虛構“騎行”的事實丸逸,非法獲取平臺為用戶補貼的紅包蹋艺,只是由于金額較低,往往無法對其進行有效制裁黄刚。
