123,刷赞人!!![已更新]

2021-10-25 13:18:49 72 14582


TCV:10
TCV不知道是什么,随便写的

缘起今天幼儿园弟弟要求朋友圈转发投票,一名hacker如果发这种朋友圈是会被其他hacker笑死的。于是,就当做了一道ctf题目,顺便输出文章稳固一下我的tools会员,防止又变成僵尸,哈哈哈哈。
1.只能在微信里投票,浏览器看不了页面提示要使用手机微信打开,bypass,把UA头改成微信的UA即可。投票显示每人每天只能投一票,继续bypass。

2.抓包添加微信UA头,添加xff头



3.爆破随机ip,1-255


  
4.成功刷票,头像不认识,仅作技术演示



5.考虑到可能会被发现,以下是伪装方法:
a.最好遍历一下访问量的包
b.xff的IP也最好是真实的
c.帮其他的孩子刷一下票,这样伪装就比较难溯源了
d.时间问题,最好不要在晚上刷票,要伪装成正常人的样子,白天刷。
只是小孩子的投票游戏,大概率不会被溯源,但是身为一名hacker当然要做到隐匿踪迹了。

6.第二天发现被别人靠买礼物得赞的方式超过去了,于是想再刷一下,发现触发了风控规则被禁了账号,仔细研究了一下触发的规则,最后得出的结论是每人每天最多只能投300票,如果再投页面投票的按钮就无响应了,如果继续使用burp刷票,就会被封禁账号,直到晚上12点才可以解封。

下一步的计划:
a.如何绕过这个风控规则呢?
我的方法是只能等到晚上12点后继续刷
师傅们有什么好的思路希望提供一下。

b.礼物刷赞的逻辑漏洞测试。

7.第二天账号恢复之后进行深入测试发现一个异常参数



修改为817之后,助力加赞(也就是刷礼物)的按钮就不见了,重复上面的操作,这时不知道为什么就又可以刷300赞了,这样,每天的上限赞数就是600了,感叹参数多就是容易出bug。
815:投票尚未开始
816:可以助力加赞
817:助力加赞消失
818:投票已结束




8.刷了600赞后,内心仍然不满足,想要继续测试,这次要小心控制爆破的次数防止被禁账号,果然超过600后就不能刷了,但是我发现再过大约1小时左右就又可以继续刷了,这样的话刷赞就无止境了刷到第一都不成问题,礼物刷赞的功能就形同虚设了,但是盗亦有道,第一就不刷了,该止步止步。
9.其他还有很多测试的地方,比如:
a.他的后台是thinkphp简单测了一下没有高危漏洞,但是如果构造报错会显示网站绝对路径等敏感信息.
b.还有礼物刷赞的逻辑测试,由于涉及到金额和账户实名的问题,就止步了,目的达到就好,我不想被溯源,不要小看愤怒的程序员,1024节日快乐,哈哈哈哈哈!
10.最后怎么能没有修复呢?
参考:
https://www.jb51.net/article/59622.htm
https://www.zhihu.com/question/19582710

看了各位师傅的评论,觉得受益匪浅,这种投票行为某种程度上各有利弊,资本的洪流无力阻挡,这个世界上没有绝对的公平,作为一名道德黑客只能做些力所能及的事情,就当是收尾工作。友谊第一,比赛第二!


最后的图片无用,但是怎么也删不掉,尴尬。。。

关于作者

trailblazer0017篇文章26篇回复

评论72次

要评论?请先  登录  或  注册
  • TOP1
    2021-10-25 13:42

    现在大部分微信投票都要求微信登陆,获取openid作为身份认证

  • TOP2
    2021-10-25 13:39

    有的要求微信登录 怎么破

  • TOP3
    2021-10-25 15:14

    学到了,以后有机会去尝试一下

  • TOP4
    2021-10-26 15:52

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

  • 72楼
    2021-11-5 13:04

    这个 有的可以修改的. 给他一个假的ipenid 他只要看到不同 的id 就认为正确.

  • 71楼
    2021-11-3 20:25
    googler

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

    1
    hrb1988

    等着你

    2
    hrb1988

    挂代理呀兄弟,我就不信这种非盈利性质能立案,没好处的事懒得搭理,评选也是内部文宣部门搞活动自语自乐

    6

    不敢啊,对了我的文章发出来了,你有兴趣的话去看看

  • 70楼
    2021-11-3 20:16
    googler

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

    1
    hrb1988

    等着你

    2
    googler

    我还挖到越权,我发现有些家长真舍得,来来回回花了1000多元弄个第一名,咱也是晚上2:000早上8:00通知老师把数据恢复到凌晨1:59分,因为毕竟人家家长有人花了1000多元买的第一名,第二天我又发现一个投票也有漏洞,但是是省建筑公司评选优秀干部的,咱不给练xi,公家单位的怕被公安问责,毕竟都是一堆领导

    5

    挂代理呀兄弟,我就不信这种非盈利性质能立案,没好处的事懒得搭理,评选也是内部文宣部门搞活动自语自乐

  • 69楼
    2021-11-3 11:56
    leakless

    投票xi统太多了,没有普适性,除非你养N多微信号这样。。。。

    1

    有专门养号的团队,这种技术非常适合他们的土壤

  • 68楼
    2021-11-1 19:24

    投票xi统太多了,没有普适性,除非你养N多微信号这样。。。。

  • 67楼
    2021-11-1 18:39
    longbbyl

    你这一说勾起了论坛很多小白闷骚的心

    1
    googler

    顶啥用,又不能赚一分钱,连一根烟钱都赚不到,就是图的个玩技术的快感,整整20几个小时没睡觉弄的结果

    2
    longbbyl

    就这技术,流窜到黑市,好几包烟钱就出来了

    3

    赚快钱的方式都写到刑法里了,所以宁可穷也不能违法犯罪,上有老下有小,干合法授权的都有背黑锅被抓的,别说黑的了

  • 66楼
    2021-11-1 15:55
    longbbyl

    你这一说勾起了论坛很多小白闷骚的心

    1
    googler

    顶啥用,又不能赚一分钱,连一根烟钱都赚不到,就是图的个玩技术的快感,整整20几个小时没睡觉弄的结果

    2

    就这技术,流窜到黑市,好几包烟钱就出来了

  • 65楼
    2021-11-1 11:24
    没睡的风

    有啥用呢,给发个奖状也行啊,就搞那些见了鬼的虚拟的东西,还撺掇亲戚朋友给投票。欸。神(S)经(B)病一样。

    1

    社会风气就这样,就当跟随潮流了

  • 64楼
    2021-11-1 11:23
    0xShe

    有的要求微信登录 怎么破

    1

    进入页面的时候身份校验无所谓,投票接口不做TOKEN、身份校验就随便破

  • 63楼
    2021-10-31 11:00
    googler

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

    1
    hrb1988

    等着你

    2
    hrb1988

    我一猜你就是给小孩整刷票来的,没办法啊,现在学校就流行这个啊,你家长不参与老师还不高兴呢

    4

    我还挖到越权,我发现有些家长真舍得,来来回回花了1000多元弄个第一名,咱也是晚上2:000早上8:00通知老师把数据恢复到凌晨1:59分,因为毕竟人家家长有人花了1000多元买的第一名,第二天我又发现一个投票也有漏洞,但是是省建筑公司评选优秀干部的,咱不给练xi,公家单位的怕被公安问责,毕竟都是一堆领导

  • 62楼
    2021-10-30 18:34
    googler

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

    1
    hrb1988

    等着你

    2
    googler

    OK没问题,视频也录了一部分,只是视频缺失另一种long长整型溢出刷票的一部分,现在票不敢刷了怕影响我孩子学校的秩序,妈耶有人花1000多霸屏,草泥马的家长为了孩子也是拼了

    3

    我一猜你就是给小孩整刷票来的,没办法啊,现在学校就流行这个啊,你家长不参与老师还不高兴呢

  • 61楼
    2021-10-29 18:32
    longbbyl

    你这一说勾起了论坛很多小白闷骚的心

    1

    顶啥用,又不能赚一分钱,连一根烟钱都赚不到,就是图的个玩技术的快感,整整20几个小时没睡觉弄的结果

  • 60楼
    2021-10-29 17:44

    你这一说勾起了论坛很多小白闷骚的心

  • 59楼
    2021-10-29 17:15

    通过openid的,可以看看排行榜、评论啥的接口,有没有泄露别的用户的openid,或者openid值修改随便修改一下值,获取到别人的openid/unionid就可以操作了

  • 58楼
    2021-10-29 14:12
    googler

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

    1
    longbbyl

    大佬有一次刷新了小白的认知。速度发出来

    2

    等几天吧,应该是个通用漏洞

  • 57楼
    2021-10-29 13:20
    googler

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

    1

    大佬有一次刷新了小白的认知。速度发出来

  • 56楼
    2021-10-29 11:21

    赞一个,学到了。 另外请教下楼主,微信UA头和xff头,两个是必须一起添加的吗? 能否给下完整的微信UA头. 自己也想找机会练一下,谢谢

  • 55楼
    2021-10-29 11:19
    googler

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

    1
    hrb1988

    等着你

    2
    googler

    你咋知道的呢

    5

    嘿嘿,,在群里看到的,期待大佬的视频

  • 54楼
    2021-10-29 10:13

    我也帮亲戚刷过,刷太猛了,对方直接关闭了活动。。。

  • 53楼
    2021-10-28 17:56
    googler

    谁告诉你们openid的无解,过几天等我把文章发到土司,我也用两种方法成功在微信登陆下,token jwt加密下刷票成功

    1
    hrb1988

    等着你

    2
    Justsudo

    大佬是不是把票刷成负数的那位

    4

    你咋知道的呢