网络安全——投票系统缺陷详解(靶场实战)

已于 2023-04-17 22:15:03 修改
阅读量563 收藏 2
点赞数 2
分类专栏: 网络安全 文章标签: web安全 安全
于 2023-01-02 16:40:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52555753/article/details/128521845
版权
文章介绍了如何利用HTTP_X_FORWARDED_FOR头来伪造IP地址,通过抓取和篡改数据包,在投票系统中进行多IP攻击。使用Intruder工具的Clusterbomb模式设置Payloads,从1到255的数字序列进行尝试,从而快速提升票数。
摘要由CSDN通过智能技术生成

 我们需要利用漏洞来把投票信息刷到第一位

 我们可以利用

HTTP_X_FORWARDED_FOR 来进行获取伪造

 我们再次进行投票的时候,我们抓取数据包的格式

我们采用上述方法进行伪造

增加变量,我们采用多IP攻击

选中247点击send to Intruder

选中247和1点击 add,将他们设置为变量

然后

Attack Type选中Cluster bomb自定义模式

点击Payloads

Payload set我们要设置1和2

Payload Type设置为Numbers

From 1

To 255

Step 1

然后点击Intruder Start Attack

最后我们刷新网页就可以看到界面票数的飞快上涨

凉月松心
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
uni-app实战——创建项目、项目结构详解
01-27
注意这里的项目名称不是你的app的名称,app的名称需要在代码里定义这里要注意一下,我们以后写一个页面,一般是一个template里面嵌套一个view,然后在view里面编写你的代码最好不要一个template里面写多个view并列,...
投票常见漏洞分析
m0_51407102的博客
06-03 1035
投票常见漏洞分析溯源 文章目录前言一、User-Agent的理解二、X-Forwarded-For的理解1.什么是X-Forwarded-For2.X-Forwarded-For可以用来干什么3.brup的爆破模式三.开始靶场练习这是个微信投票,某某要自己的家乡成为第一名二、开始操作搞起来1.打开网站首页收到提示页面提示要用微信打开,然而奈何实力不允许没有微信,只能想办法了。这个时候想到了User-Agent,那我把这个改成微信的User-Agent不就可以投票了嘛2.先百度一个微信的User-Agent
墨者学院—网络安全篇3
博客
09-17 1561
文章目录投票常见漏洞分析溯源标题 投票常见漏洞分析溯源 背景介绍 小墨在微信群里面收到一个关于“家乡美”最美乡村评选微信投票,小墨想让自己的家乡成为第一名 实训目标 1、User-Agent的理解 2、X-Forwarded-for的理解 3、使用BurpSuite工具修改内容 解题方向 根据页面提示,进行投票测试 解题步骤 首先开启靶场环境 点击进入微信投票,根据提示 我们需要把a2019的票数刷到第一名 提示要用微信打开 我们使用浏览器信息伪造 标题 ...
墨者网络安全——投票常见漏洞分析溯源
weixin_53980169的博客
07-22 1563
墨者网络安全之投票常见漏洞分析溯源
投票常见漏洞分析溯源
asd158923328的博客
08-20 887
靶场地址: https://www.mozhe.cn/bug/detail/WTNpdGxUS3l4dG9uMFF6ZEs3OEJCdz09bW96aGUmozhe 根据题意 进入环境 使用burp suite构造User-Agent,X-Forwarded-for,attack刷新获取key ...
纵横网络靶场资源题-过程详解
最新发布
09-21
【网络靶场实战技巧与Wireshark流量分析】 在网络安全领域,网络靶场是一种重要的实践平台,它模拟真实的网络环境,让参与者通过解决各种安全挑战来提升技能。本篇文章主要探讨的是一个涉及到Wireshark流量分析的...
详解使用VMware安装Permeate靶场系统实践
09-29
Permeate靶场系统则是一个针对网络安全培训和测试的平台,通过模拟不同的网络攻击场景,帮助用户学习和提升安全防护技能。本文详解了使用VMware安装Permeate靶场系统的过程,并提供了一些常见问题的解决方法。 首先...
Python网络安全项目开发实战_利用Python监测漏洞_编程案例解析实例详解课程教程.pdf
04-27
任何软件和系统都没法保证百分之百的安全。但当某个软件发现了漏洞,它就会影响众多的使用者。对于这种情况,我们只能常看相关的论坛,积极地打补丁修补,没有什么更好的办法应对。网络上公布的漏洞很多,只要发布新...
2022年金砖国家 网络安全赛项(样题)
12-19
对网络、操作系统、应用、服务器等目标进行信息和数据安全防 护与渗透,具有分析、处理现场安全问题的能力,促进学生团队 协作实践能力,引导中等职业学校关注网络安全技术发展趋势和 产业应用方向,促进专业建设与...
墨者学院 - 投票常见漏洞分析溯源
多崎巡礼的博客
07-31 1703
首先用burp抓包,然后把包发送到intruder因为提示用微信投票,所以把User-Agent:改成 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.98 MicroMessenger/6.0NetType/2G 然后添加X-Forwarded-For:1...
网上投票系统刷票代码
codeAB
10-16 9197
很多网站上的投票依据是ip地址,不同的ip地址一天可投票一次 下面的代码就是利用curl扩展来伪造ip地址 达到无限制投票; $times = $_POST['times']; //投票次数 $url = $_POST['url']; //投票地址[某个选手下方投票按钮的链接] while ($times) { $ip1 = 'X-FORWARDED-F
墨者 - 投票常见漏洞分析溯源
吃肉唐僧的博客
07-18 1313
正常访问,发现需要微信端才可登录 所以伪造微信请求头和ip地址即可 用bp抓包 User-Agent:改成 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.98 MicroMessenger/6.0NetType/2G X-Forwarded-For:...
墨者学院-投票常见漏洞分析溯源
Ruoten的博客
01-01 3408
1.进入靶场,任务要求是需要我们投票,把a2019的票数成为第一,就是所谓的刷票,完成后,就会获得key值 2.然后打开BurpSuite打开响应包拦截,当我们点击投票按钮,BurpSuite就会拦截到一个响应包 3.点击鼠标右键点击"send to Intruder",然后把响应包的内容进行修改,修改User-Agent的头数据为"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrom.
在线靶场-墨者-网络安全1星-投票常见漏洞分析溯源
weixin_42079912的博客
07-19 416
根据题意我们要把a2019投票投到第一位。 打开靶场投票网站,开启网页代理,打开burp suite进行投票抓包。抓到数据包后,根据题意,要使用微信投票。于是需更改User-Agent。将其更改为:Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile...
网络安全|墨者学院在线靶场|投票系统程序设计缺陷分析
没有
02-20 5256
网络安全|墨者学院在线靶场|投票系统程序设计缺陷分析
mozhe靶场——网络安全——投票系统程序设计缺陷分析
qq_52680340的博客
06-02 868
背景介绍年终了,公司组织了各单位"文明窗口"评选网上投票通知。 安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。实训目标1、了解浏览器插件的使用;2、了解开发程序员对IP地址获取方式;3、了解网络协议软件的使用,如burpsuite等;解题方向根据页面提示,进行投票页面测试。打开靶场要求为ggg号选手投票让他获得第一名,但是只有一次机会!!!所以怎么给他投更多的票呢????由提示可以看出,它应该是限制IP,也就是一个IP只能投一次。这就要知道PHP获取IP的一些方式,其中
网络安全攻防详解:Wireshark技巧与协议分析实战
网络安全攻防文档深入探讨了网络安全领域的核心知识,主要包括网络协议分析、攻击流量分析、取证技术以及漏洞检测方法。首先,网络协议分析是理解网络安全的关键,Wireshark作为一种常用的网络分析工具,被用来捕捉...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凉月松心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值