LTGAMES 支付系统深度分析

2026-06-05 | 溯源支付JS逆向

一、目标信息

充值站	gamepay.ltgamesglobal.com/game
运营方	HONGKONG LEITING INFORMATION TECHNOLOGY CO., LIMITED
地址	FLAT/RM 604, 6/F, EASEY COMMERCIAL BLDG, 253-261 HENNESSY ROAD, WANCHAI, HK
API基址	gamepayapi.ltgamesglobal.com
CDN	AWS CloudFront (东京NRT20-P9)
OSS	ossstaticos.ltgamesglobal.com (43.159.108.4)
目标用户	日本（日语界面）

二、7款游戏

ID	游戏名	需登录
52	杖劍傳說：坎斯汀之約	✅
99	Skyblade	✅
25	一念逍遙	✅
68	Overmortal-Idle RPG	✅
47	Overmortal (SEA)	❌ 免登入
7	最後の希望: PIXEL Z	❌ 免登入
10	Elona Mobile	❌ 免登入

三、API端点（JS逆向提取）

公开： POST /game/list（无需鉴权）

需鉴权（30+个）：

POST /checkAccess          POST /user/logout
POST /user/info            POST /user/zone
POST /user/roleList        POST /user/setRole
POST /user/order           POST /user/closeOrder
POST /product/card         POST /product/sku  ← 含channelList
POST /payment/recharge     ← 🔥 发起支付下单
POST /payment/continueOrder
POST /activity/rechargeInfo

四、核心发现

游客登录入口：POST /user/roleList 搭配 loginType=1 实现，非常规 /login/tourist

支付渠道动态加载：/product/sku 返回 channelList，渠道ID对应 ossstaticos 上的图标

API反爬：需正确的 cid 参数 + form-urlencoded Content-Type

Sentry DSN泄露：b33f77a24620fbfc72cdf0d58661bb95@o4510146851241984.ingest.us.sentry.io

五、JS资源清单

/gamepayos/js/text.js         ← 环境配置
/gamepayos/js/chunk-*.js     ← 7个chunk
/gamepayos/js/app.*.js       ← 主应用
ossstaticos.ltgamesglobal.com/images/channel/{id}.png  ← 支付渠道图标

六、调证路径

香港公司查册 ➔ 公司注册处 (CR) 调取董事/股东
AWS CloudFront ➔ aws-security@amazon.com 协查账号
支付渠道商户号 ➔ 需模拟登录/充值获取