123,刷赞人!!![已更新]
TCV:10
TCV不知道是什么,随便写的
缘起今天幼儿园弟弟要求朋友圈转发投票,一名hacker如果发这种朋友圈是会被其他hacker笑死的。于是,就当做了一道ctf题目,顺便输出文章稳固一下我的tools会员,防止又变成僵尸,哈哈哈哈。
1.只能在微信里投票,浏览器看不了页面提示要使用手机微信打开,bypass,把UA头改成微信的UA即可。投票显示每人每天只能投一票,继续bypass。
2.抓包添加微信UA头,添加xff头
3.爆破随机ip,1-255

4.成功刷票,头像不认识,仅作技术演示
5.考虑到可能会被发现,以下是伪装方法:
a.最好遍历一下访问量的包
b.xff的IP也最好是真实的
c.帮其他的孩子刷一下票,这样伪装就比较难溯源了
d.时间问题,最好不要在晚上刷票,要伪装成正常人的样子,白天刷。
只是小孩子的投票游戏,大概率不会被溯源,但是身为一名hacker当然要做到隐匿踪迹了。
6.第二天发现被别人靠买礼物得赞的方式超过去了,于是想再刷一下,发现触发了风控规则被禁了账号,仔细研究了一下触发的规则,最后得出的结论是每人每天最多只能投300票,如果再投页面投票的按钮就无响应了,如果继续使用burp刷票,就会被封禁账号,直到晚上12点才可以解封。
下一步的计划:
a.如何绕过这个风控规则呢?
我的方法是只能等到晚上12点后继续刷
师傅们有什么好的思路希望提供一下。
b.礼物刷赞的逻辑漏洞测试。
7.第二天账号恢复之后进行深入测试发现一个异常参数
修改为817之后,助力加赞(也就是刷礼物)的按钮就不见了,重复上面的操作,这时不知道为什么就又可以刷300赞了,这样,每天的上限赞数就是600了,感叹参数多就是容易出bug。
815:投票尚未开始
816:可以助力加赞
817:助力加赞消失
818:投票已结束
8.刷了600赞后,内心仍然不满足,想要继续测试,这次要小心控制爆破的次数防止被禁账号,果然超过600后就不能刷了,但是我发现再过大约1小时左右就又可以继续刷了,这样的话刷赞就无止境了刷到第一都不成问题,礼物刷赞的功能就形同虚设了,但是盗亦有道,第一就不刷了,该止步止步。
9.其他还有很多测试的地方,比如:
a.他的后台是thinkphp简单测了一下没有高危漏洞,但是如果构造报错会显示网站绝对路径等敏感信息.
b.还有礼物刷赞的逻辑测试,由于涉及到金额和账户实名的问题,就止步了,目的达到就好,我不想被溯源,不要小看愤怒的程序员,1024节日快乐,哈哈哈哈哈!
10.最后怎么能没有修复呢?
参考:
https://www.jb51.net/article/59622.htm
https://www.zhihu.com/question/19582710
看了各位师傅的评论,觉得受益匪浅,这种投票行为某种程度上各有利弊,资本的洪流无力阻挡,这个世界上没有绝对的公平,作为一名道德黑客只能做些力所能及的事情,就当是收尾工作。友谊第一,比赛第二!
最后的图片无用,但是怎么也删不掉,尴尬。。。
评论72次
现在大部分微信投票都要求微信登陆,获取openid作为身份认证
有的要求微信登录 怎么破
学到了,以后有机会去尝试一下
谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功
兄弟私信你了你看一下
我见到这些参数我就想sql注入一下
这个我以前也遇到过,和楼主一个思路,就是改个xff头,不过没楼主想得那么多
学到了,以后有机会去尝试一下
好文章,作者能不能在刷票结束之前录制个视频教程,然后付费下载,毕竟写成文章,看起来没视频直观,本人愿意付费购买视频
hacker的思路不错啊,现在刷赞,点赞送礼品的太多了。害!!!!!!
幼儿园和一些培训机构什么的各种这样的投票,又是转发又是点赞的
这个好,这个好。以后遇到这种多一种思路。????
有啥用呢,给发个奖状也行啊,就搞那些见了鬼的虚拟的东西,还撺掇亲戚朋友给投票。欸。神(S)经(B)病一样。
现在大部分微信投票都要求微信登陆,获取openid作为身份认证
有的要求微信登录 怎么破
各种学校,机构搞那种投票的。真是让人费时费力,果然还是技术改变生产力