前言

之前也有介绍过怎么使用Fiddler配置及使用教程，今天就不在这里多过介绍Fiddler软件了，还不会使用的可以参考这篇文章

今天来再来举个案例，实战修改某页游的充值数据。

配置Fiddler 过滤必要的请求

这次我们以 某页游戏充值中心为例

我们先抓取订单数据

在请求标头中，选择仅当URL包含时才显示，并勾选启用过滤器

继续选择断点：选择上一个请求

这里可以选择过滤pay.**99.com这域名，然后我们回到游戏抓包

进入游戏 修改请求

进入游戏后我们首先打开重新页面

接着回到fiddler打开拦截请求，进行抓包操作。

在这里我们修改Body中money参数对应的值为5（现在大部分不能修改为0），点击运行完成进行放开拦截，

即可完成本次请求相应，订单也会正常创建， 并显示需要支付的二维码、

PS：现在大部分充值系统都有类似的充值心跳来检测充值是否成功

扫码后成功显示支付5元，值得一提的是，目前充值检测非常严格。 限制最低充值金额的原因，多是为了弥补当年设置0元购买的BUG，防止2000元改成 0元。说了简单点就是怕你0元支持来充2000或者更多。

我们付款后，大部分游戏充值结果对应的是您的充值金额，而不是对应的订单号。 如果要完全修改，比如充值会员，或者其他定额产品，可以通过抓取修改数据包来达到修改效果。

AutoResponse修改返回数据

部分游戏在获取订单状态时充值系统可能存在漏洞， 这时候就可以通过修改返回值直接判断充值成功，达到0元充值的效果，但是成功率也很低。

首先我们需要自己充值一次，支付成功后拦截订单返回的数据。

如图，我截取到的一个json文件

这个json文件对应的是某页游戏充值成功后的订单返回状态。，我们可以匹配对应规则中的URL，返回本地此文件，如果充值系统没有其他验证，则直接充值成功，有效期至json无效。

不过现在一般都会设置其他随机令牌或时间戳验证，以防止成功的支付数据包被使用两次。

后话：

对于一名氪金玩家来说，只要是喜欢的游戏都会充值，干到爆，比如现在大火的吃鸡，哪个不是几万游戏热度值。

话说回来，充值系统是一款游戏运行的关键所在，所以能找到的漏洞可以说是微乎其微，能用的更别多说了。

有兴趣的小伙伴可以查一下某疼的支付系统，不过我这要跟你说清楚，是合理范围内，站长可不想为你背黑锅。

像当年刷Q币的不能说全是假的，顶多是1:1.X倍， 至于0元，倒是没有； 说有的，也只是一种欺骗人的流量黑客软件。