【娱乐】看VA我从来不付费
看VA我从来不付费
从“漏洞挖掘的逻辑”去绕过付费限制,免费观看“国产”、“高质”、“收费”的爱情动作片。
前言(扯淡)
最近,各类“爱情动作片网站”重现江湖,各类“诱导性”推广,本着“首席鉴(chui)黄(niu)举报师”的这个头衔,当然是选择一个一个点开截图然后举报咯。
收费(WTF?)
当然,在我做这有趣而又让人时不时喷鼻血的健康活动时,居然遇到了大量的收费网站!!!
作为一名“信息安全”、“渗透测试”业余爱好者,怎么可以“助纣为虐”(实际上就是一个穷GUI),当然不可能付钱过去观看的,毕竟他们有了钱就有了生活的资本,有了生活的资本就会扩张网站的推广力度,就会影响一代又一代的年轻人!(以上纯属吹牛)
绕过收费
注:以下内容纯属虚构,如有雷同实属巧合。
以下操作均使用BurpSuite(HTTP协议抓包测试工具)完成
变身VIP会员
这里,笔者下载了一个APP(朋友提供),点进去,里面的花样多到我差点脱裤子...
我朋友告诉我XXX优质动作片好看,我正兴致勃勃的点开,APP却无情的提示我
居然需要VIP才能看,仔细一看VIP的价格(我真的不是想买),打扰了,告辞...不想借朋友的VIP(咳咳),于是我分析起了这个视频播放流程。
1.校验是否登录 2.判断是否是VIP 3.是VIP进入视频播放
在第二步骤的时候,我使用BurpSuite抓包查看了一下响应:
发现这里返回报文中有一段JSON,在编程中0=False假,1=True真,这时候把0改为1
成功观看:
换个后缀直接看
VA网站大部分都有这种预览动图:
地址:https://xxxx/cover/20200311/40975b8aeffbcd03d6b605761a663a0f.webp
之前有了解过其原理,是根据视频去生成的webp动态预览图,由于视频也是静态资源之一,所以我们可以考虑下是否这个视频的文件名和路径(URL)与图片一致,只是后缀不一样,将https://xxxx/cover/20200311/40975b8aeffbcd03d6b605761a663a0f.webp修改为https://xxxx/cover/20200311/40975b8aeffbcd03d6b605761a663a0f.mp4,访问:
成功观看到收费资源视频
免费视频接口看收费视频
遇到收费视频的时候,先去免费的视频走一遍流程获取整个请求包,这时候看见一个请求:/vdao/ivadapis/detail?videoId=e92237a65ddc4a50972d037eeed246e4
它会返回视频的m3u8格式地址:
手机浏览器直接访问即可观看,那只需要将videoId的值换成收费视频的ID即可通过这个接口观看收费视频。
在网页中搜索视频地址
关键词:m3u8\mp4,经常性能搜索到视频地址,直接点击访问即可观看。
这里使用火狐浏览器的:开发者工具(F12)
END
净化网络,从你我做起,举报,提交。
关于作者
评论122次
这个APP不就是9UU嘛。虽然马赛克我一眼看出来。上面有刘玥的片子。还有这个APP注意是引流到他们自己的博彩站
我是之前也不知道。通过MS17010当时搞我韩国服务器同C段机器的时候发现的内幕。当时机器就有2个软件挂着。一个电报一个potato天天远程看他们内部聊天记录。我还下载他们相互传的内部文件。一直保留在现在。当时我问朋友说这玩意给JC什么后果。我朋友说你给的人要有权才行破小职员没有。后面我也找人打听过这团伙其实在境外势力满大的。国内很多棋牌也是他们的。最后我就一直保留着资料。包括他们在那国家那个大厦都清楚。。。
福利放送:(国产)aHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMjIvYjBiNjJkMWY3NDU2MzM5NTJjYWY3MjNhYTEyNjYyOWQubXA0L2luZGV4Lm0zdTgKaHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMTUvNWUxMWQ1ZDg5M2QxMGQwODhhYjIxYjViYWVjM2FiYTMubXA0L2luZGV4Lm0zdTgKaHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMTUvZTBhZjMwOWY5NWNkNzRhNmUwMDA2MWVjYzNmNmRlYTAubXA0L2luZGV4Lm0zdTgKaHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMjEvN2M4OTEzMzYzNjY1NjBiOThmY2ZhMTFlMDU4OWMxYTAubXA0L2luZGV4Lm0zdTgKaHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMTUvNGU3OGIwMWM4ZDE1ODgzYjgzMzg1MGIyZDkzYTEwOGUubXA0L2luZGV4Lm0zdTg=
撸完了就举报。
我终于可以免费看了 谢谢
key师傅牛皮呀,我刚看了一眼这个马赛克有和没有,区别不大!!!! 重点是我旁边有人,我看的时候他好像在偷看我。
javdb默默飘过。。。
666666免费观看一波
安卓用小黄鸟 静态注入 可以搞定很多 不说了肾虚打不动字了
老哥 你那个朋友是你自己吧!!!.gif)
福利放送:(国产)aHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMjIvYjBiNjJkMWY3NDU2MzM5NTJjYWY3MjNhYTEyNjYyOWQubXA0L2luZGV4Lm0zdTgKaHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMTUvNWUxMWQ1ZDg5M2QxMGQwODhhYjIxYjViYWVjM2FiYTMubXA0L2luZGV4Lm0zdTgKaHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMTUvZTBhZjMwOWY5NWNkNzRhNmUwMDA2MWVjYzNmNmRlYTAubXA0L2luZGV4Lm0zdTgKaHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMjEvN2M4OTEzMzYzNjY1NjBiOThmY2ZhMTFlMDU4OWMxYTAubXA0L2luZGV4Lm0zdTgKaHR0cHM6Ly85dXU2Ni5jb20vMjAyMDAyMTUvNGU3OGIwMWM4ZDE1ODgzYjgzMzg1MGIyZDkzYTEwOGUubXA0L2luZGV4Lm0zdTg=
这个可以啊!base64加密,既分享链接,又不违反规则
其实我一直想知道,这类va 的app,除了收费、引流到赌博站,会不会还作为后门偷数据
那个。。。我有个朋友想复现下漏洞
那这套源码是不是通杀的咯
已成功复现
拿个,我想复现一下漏洞,加深漏洞理解以及动手能力
无情,为什么不直接搞下来
9UU?可以免费观看了?太强了
可怜以前网盘收集的精品,现在都被和谐了
好,好,好,技术好,就是肾越来越不好了
key师傅又开车啦....
我前段时间也测了个app的,要门票的那种。抓包可以拿到rtmp直播地址。
吐司看片指日可待
我想单纯的研究下这个漏洞,都是为了学xi,没有别的意图
以前套91的壳子也是换视频地址