cdxy.me
Footprints on Cyber Security and Python

关注的程序员漫画系列突然出了个抢币活动。
文末公开了申请链接,并注明今晚10点开放。
http://bd.feilaomao.com/f/XV5IL8

碰巧这个交易所以前做过KYC,且官方文章中已经透露出申请界面的布局:

pic

访问链接,未开放申请时界面类似下图:

pic

发现是第三方平台 https://jinshuju.net

于是在第三方平台注册了账号,根据text框的icon定位到相同的组件,复制了一个"申领系统":

pic

然后开console写了段自动填数据然后提交的js

var list = document.getElementsByTagName("input");
if (list.length > 0) {
    var input_list = Array();
    var submit;
    for (var i = 0; i < list.length && list[i]; i++) {
        if (list[i].type == "text" || list[i].type == 'tel') {
            input_list.push(list[i]);
        }
        if (list[i].type == 'submit') {
            submit = list[i];
        }
    }
    input_list[0].value = 'xxxx';
    input_list[1].value = 'xxxx';
    input_list[2].value = 'xxxx';
    submit.click();
}
else {
    setTimeout(function() {
    window.location.reload();
    }, 500);
}

在找不到input标签时自动刷新页面,找到input后直接填数据提交。

考虑到后台记录人工审核,没开并发,做了个简单的chrome插件。

试用网址填上了目标url和我的测试环境。

{  
  "manifest_version": 2,  
  "name": "Chrome薅羊毛脚本",  
  "version": "1.0",  
  "description": "chrome薅羊毛示例",  
  "browser_action": {  
    "default_icon": "icon.png"  
  },  
  "content_scripts": [  
    {  
      "matches": [
        "http://bd.feilaomao.com/f/XV5IL8",
        "https://jinshuju.net/f/xxxxxx"
    ],  
      "js": ["800.js"]  
    }  
  ]  
}  

模拟真实环境设置定时开放,插件测试一次通过,流程差不多1s跑完,后台能看到提交的数据。

pic

线上实战,放了首《Star Sky》,看着它刷出了页面然后提交:

pic

再手动刷新了下,已经满员关闭了。

  • 只抢了一份,日后好相见。

pic