蚂蚁森林抓包

ssl pinning

@Lightbright 去学习了一下，感觉不像，因为开着代理的时候业务并没有中断，照样可以收取好友的能量

整一批 root 的安卓模拟器，安装 Lsposed 后里面搜 芝麻粒，全自动偷菜。

开源模块 [已停更] ： https://github.com/TKaxv-7S/Sesame-TK
原理： https://github.com/yongjun925/autocollectenergy

[借楼] 像这种事情大家都是怎么做的？大也不大，小也不小，但从头来做似乎得花十几个晚上才能做好吧，或者只有职业逆向的友友才会去投入时间做？（因为比较快就可以完成）

这样问是因为偶尔也有朋友拿些东西请我做，我因为担心自己玩心大出活慢所以一般都不敢接

@krapnik #4 停更了才发现还有这么个好东西，我一直是用模拟点击来实现自动收能量的。

安卓-芝麻糊 X ，不用自己动手了

苹果表现在还能一键收么？

@shiyidi 已经存在的连接可以继续通信但无法抓包。新的连接无法建立，因为支付宝高版本开启了 ssl pinning ，不接受自签证书。

@kiritoyui 可以

啥公司文化? 这和小学收集烟卡有什么区别

@hututu888 一直在用 这玩意儿还能自动挂支付宝小视频的红包，经常给个十几块钱。。。

@hututu888 但是不知道作者发布地址在哪儿，一直是在第三方网站下载的

@superchijinpeng 怎么一键收呢？

大公司的都是把网络库封装在 so 文件里，调用 so 的方法去发请求的，不好抓，一般都是 hook 和逆向 so 搞到 sign 签名

天猫精灵吆喝一声就行~

搞一个天猫精灵 小爱定时唤醒 天猫精灵收能量

@worldqiuzhi 外包已入侵人工智能领域。

@asmoker #16
@worldqiuzhi #17 自动收？？

是骗大家早起吗？

网络通信不在应用层吧

@abcde51111 对 天猫精灵收能量 我的小树快长大

@krapnik 有个 fork 的还在更新
https://github.com/Fansirsqi/Sesame-TK

@worldqiuzhi #22 闲鱼看看去，天天早上十来分钟收一遍也麻烦，能偷别人的能量？

@abcde51111 不能偷 是官方智能音箱

spdy ？

@kiritoyui 可以

好像是阿里系的现在默认都不走 HTTP 协议

@worldqiuzhi #25 就是只能收自己的。

抓什么包，不说你抓不到包的原因有 N 种，抓到包了，你确定你有那个能力把签名签出来吗。

搞几个手机的自动化工具就行，很多黄牛抢票就是这么干的。

抓肯定是可以抓到的，可以看看是不是 socket 通信，就算不是 socket 大概率也加了密，相比而言抓包是成本比较高的方式，最简单的方式是直接手机识别数据，半天开发就搞定

1. 可能不是 http ，直接用的 socket/tcp
2. 跳过了系统代理走的直连
用 wireshark 试试

刚搜的，基于 Autojs 的蚂蚁森林自动收能量脚本 https://github.com/TonyJiangWJ/Ant-Forest