某天幼儿园弟弟要求朋友圈转发投票,一名如果发这种朋友圈是会被其他笑死的。于是,就当做了一道ctf题目,顺便输出文章稳固一下我的tools会员,防止又变成僵尸,哈哈哈哈。
没想到文章在tools论坛上反响还不错,于是继续发表在上,赚点金币,哈哈哈哈。
1.只能在微信里投票,浏览器看不了页面提示要使用手机微信打开,,把UA头改成微信的UA即可。投票显示每人每天只能投一票,继续。
2.抓包添加微信UA头,添加xff头
3.爆破随机ip,1-255
4.成功刷票,头像不认识,仅作技术演示
5.考虑到可能会被发现,以下是伪装方法:
a.最好遍历一下访问量的包
b.xff的IP也最好是真实的
c.帮其他的孩子刷一下票,这样伪装就比较难溯源了
d.时间问题,最好不要在晚上刷票,要伪装成正常人的样子,白天刷。
只是小孩子的投票游戏,大概率不会被溯源,但是身为一名当然要做到隐匿踪迹了。
6.第二天发现被别人靠买礼物得赞的方式超过去了,于是想再刷一下,发现触发了风控规则被禁了账号,仔细研究了一下触发的规则,最后得出的结论是每人每天最多只能投300票,如果再投页面投票的按钮就无响应了,如果继续使用burp刷票,就会被封禁账号,直到晚上12点才可以解封。
下一步的计划:
a.如何绕过这个风控规则呢?
我的方法是只能等到晚上12点后继续刷
师傅们有什么好的思路希望提供一下。
b.礼物刷赞的逻辑漏洞测试。
7.第二天账号恢复之后进行深入测试发现一个异常参数
修改为817之后,助力加赞(也就是刷礼物)的按钮就不见了,重复上面的操作,这时不知道为什么就又可以刷300赞了,这样,每天的上限赞数就是600了,感叹参数多就是容易出bug。
815:投票尚未开始
816:可以助力加赞
817:助力加赞消失
818:投票已结束
8.刷了600赞后,内心仍然不满足,想要继续测试,这次要小心控制爆破的次数防止被禁账号,果然超过600后就不能刷了,但是我发现再过大约1小时左右就又可以继续刷了,这样的话刷赞就无止境了刷到第一都不成问题,礼物刷赞的功能就形同虚设了,但是盗亦有道,第一就不刷了,该止步止步。
9.其他还有很多测试的地方,比如:
a.他的后台是简单测了一下没有高危漏洞,但是如果构造报错会显示网站绝对路径等敏感信息.
b.还有礼物刷赞的逻辑测试,由于涉及到金额和账户实名的问题,就止步了,目的达到就好,我不想被溯源,不要小看愤怒的程序员,1024节日快乐,哈哈哈哈哈!
10.最后怎么能没有修复呢?
参考:
这种投票行为某种程度上各有利弊,资本的洪流无力阻挡,这个世界上没有绝对的公平,作为一名道德黑客只能做些力所能及的事情,就当是收尾工作。友谊第一,比赛第二!
