123，刷赞人！！！[已更新]

TCV：10
TCV不知道是什么，随便写的

缘起今天幼儿园弟弟要求朋友圈转发投票，一名hacker如果发这种朋友圈是会被其他hacker笑死的。于是，就当做了一道ctf题目，顺便输出文章稳固一下我的tools会员，防止又变成僵尸，哈哈哈哈。
1.只能在微信里投票，浏览器看不了页面提示要使用手机微信打开，bypass，把UA头改成微信的UA即可。投票显示每人每天只能投一票，继续bypass。

2.抓包添加微信UA头，添加xff头



3.爆破随机ip，1-255


  
4.成功刷票，头像不认识，仅作技术演示



5.考虑到可能会被发现，以下是伪装方法：
a.最好遍历一下访问量的包
b.xff的IP也最好是真实的
c.帮其他的孩子刷一下票，这样伪装就比较难溯源了
d.时间问题，最好不要在晚上刷票，要伪装成正常人的样子，白天刷。
只是小孩子的投票游戏，大概率不会被溯源，但是身为一名hacker当然要做到隐匿踪迹了。

6.第二天发现被别人靠买礼物得赞的方式超过去了，于是想再刷一下，发现触发了风控规则被禁了账号，仔细研究了一下触发的规则，最后得出的结论是每人每天最多只能投300票，如果再投页面投票的按钮就无响应了，如果继续使用burp刷票，就会被封禁账号，直到晚上12点才可以解封。

下一步的计划：
a.如何绕过这个风控规则呢？
我的方法是只能等到晚上12点后继续刷
师傅们有什么好的思路希望提供一下。

b.礼物刷赞的逻辑漏洞测试。

7.第二天账号恢复之后进行深入测试发现一个异常参数



修改为817之后，助力加赞（也就是刷礼物）的按钮就不见了，重复上面的操作，这时不知道为什么就又可以刷300赞了，这样，每天的上限赞数就是600了，感叹参数多就是容易出bug。
815：投票尚未开始
816：可以助力加赞
817：助力加赞消失
818：投票已结束




8.刷了600赞后，内心仍然不满足，想要继续测试，这次要小心控制爆破的次数防止被禁账号，果然超过600后就不能刷了，但是我发现再过大约1小时左右就又可以继续刷了，这样的话刷赞就无止境了刷到第一都不成问题，礼物刷赞的功能就形同虚设了，但是盗亦有道，第一就不刷了，该止步止步。
9.其他还有很多测试的地方，比如：
a.他的后台是thinkphp简单测了一下没有高危漏洞，但是如果构造报错会显示网站绝对路径等敏感信息.
b.还有礼物刷赞的逻辑测试，由于涉及到金额和账户实名的问题，就止步了，目的达到就好，我不想被溯源，不要小看愤怒的程序员，1024节日快乐，哈哈哈哈哈！
10.最后怎么能没有修复呢？
参考：
https://www.jb51.net/article/59622.htm
https://www.zhihu.com/question/19582710

看了各位师傅的评论，觉得受益匪浅，这种投票行为某种程度上各有利弊，资本的洪流无力阻挡，这个世界上没有绝对的公平，作为一名道德黑客只能做些力所能及的事情，就当是收尾工作。友谊第一，比赛第二！


最后的图片无用，但是怎么也删不掉，尴尬。。。