js用按钮变图片怎么再点一次换回去_看我如何用漏洞组合拳给小萝莉刷票

最新推荐文章于 2021-04-28 19:03:49 发布
最新推荐文章于 2021-04-28 19:03:49 发布
阅读量600 收藏 1
点赞数
文章标签: js用按钮变图片怎么再点一次换回去

搜索公众号:暗网黑客

可领全套网络安全课程、配套攻防靶场

629843ac9b32815fd608352446035976.png

墨迹一会

今天好朋友的奶奶来找我

让我给他外孙女投票

还让我帮她发个朋友圈

原因是这个小女孩有自闭症

不爱跟人说话,学校非要让他参加比赛

so 我这种头像绿的发黑的好人一定要帮忙啊哈哈哈

然后就决定给小女孩刷一波票

正文

然后把url转发给了我自己
url如下
http://xxxxxxxxxxx/activity_item1.php?aid=43&id=1499&userid=xxxx&orther_openid=oxp5y0oVvpaHPvqKQCexxxxxx
(为了防止被爆菊,so打个马赛克)
在电脑上直接打开是打不开的

然后我登陆网页版微信然后在微信上跳转过去

就可以成功访问了

图片就不上了

害怕各位表哥了

咳咳咳

下面掏出神奇burpsuite

我用的是社区版的 。。虽然跟版本没关系但是还是说一下

b44e5c55eb5d958259bbe1d037897db7.png

设置代理之后开始挖挖挖

只刷个票也没有必要做信息收集等等的措施了

遍历了一下aid

然后成功了

d629267f21180623e04fa1178eb615a0.png

用burp suite的爆破模块 遍历aid 然后重复发包 票数一直在增加

本以为就这样结束了

到了50票以后返回包变成了 2

但是正确的返回包是0

c9ba311e75a496d000ecaf30c763872f.png

审计了js发现返回包为2时就表示投票失败

这可让我花容失色(手动滑稽)

一开始以为是什么位置错了

重新弄了一次发现并没有

所以只能重新挖

把所有id都换了一遍

发现没有什么用

最后把目光放在了js 上

审计了之后发现 有otherid 和xeon在js中的验证

post包中也有这两个参数的出现

然后发现是一个加密

userid=xxxx&orther_openid=oxp5y0oVvpaHPvqKQCexxxxxx

换了我妈的微信号登陆发现id和otherid也变了

然后重新遍历aid成功投票

这里就想到了一个更改对应userid和otherid的思路

但是问题来了

怎么让userid和otherid对应勒

一开始我以为是某种加密之后的

但是试了好多种加密方法都无效

然后有一次把猥琐的目光投向js

审计了一下js发现这是特定的加密

so这个思路打算放弃

然后看见了url中也存在这两个参数

userid=xxxx&orther_openid=oxp5y0oVvpaHPvqKQCexxxxxx

我只在url中输入userid然后点击投票发现会有一个对应的

otherid出现

这里觉得要成功了

a1b6af50f0c3e8be2a8b33a96696a848.png

果然成功的出现了xeon这个参数

然后将这个参数复制粘贴到前面的otherid

配合第一个遍历aid漏洞

打出漏洞组合拳

终于成功了

9145d6f5f434333c060e6bd7690e9600.png
83702084e96132addf163075f7e4b33c.png


然后我要去补作业了

还有不久中考

各位表哥等我回来

79802d68ab191ce75ddbf7eb0e4e0322.png

彩蛋福利:

初中生都能这么前卫开始进行实战利用~

想想自己的初中在干什么呢?惭愧呀

时代不同,机遇不同,各类教学视频层出不穷

找准适合自己的自己的一套体系化教程很重要

初中生尚且这般努力,尔等又岂能停滞~

路是自己的,生活是自己的,技术更是自己的一生财富

#安全实战学习技能#配套靶场 扫码领取

b9b2d99d793865f5b32cb5a40c0b5ae0.png

作者:手机用户qZvcKw

转载自:https://bbs.ichunqiu.com/thread-39582-1-4.html

weixin_40001967
关注
萝莉动态图
02-01
一个动态图开发,简单的gif制作,领用jpg转成gif
【小萝莉说Crash】第二期:Unrecognized selector xxx 之 ForwardInvocation
腾讯Bugly的专栏
05-30 6144
2015年不急不忙地到来,小萝莉为大家奉上新年礼包,祝大家新年快乐,希望开发GGMM们新一年的开发工作更加顺利、安心! ^_^ 在上篇的分享中,小萝莉给大家介绍了一个入门必现的应用崩溃问题 —— Unrecognizedselector sent to instance xxx,通过分析其出现的主要场景,给大家提出了一些避免出现此类问题的建议。然而,古语有云:“斩草不除根,则必留后患”(感觉好
萝莉说Crash(一):Unrecognized selector sent to instance xxxx
热门推荐
abulin的专栏
12-04 3万+
写在前面的:分享一篇文,原文地址:小萝莉说Crash(一):Unrecognized selector sent to instance xxxx ---------------------------------------------------------------------------------------------------------------------------
Failed to instantiate [com.XXX.entity.People]
abb_fyy的博客
06-02 1万+
今天在Spring Boot工程启动时报错了Failed to instantiate [com.fyy.entity.People],提示不能初始化该类,原因是找不到默认的构造方法,我看了一下,我也有写构造方法: public People() { super(); this.id = id; this.name = name; this.age = age; } 后来才...
AsyRemoatData.rar_刷票源码
07-14
定时多线程刷票源码,使用泛型动态添加控件
Internet图片验证码系统.rar_vc 验证码_图片验证码_随机_验证码
09-14
总的来说,这个压缩包提供了一个使用VC++实现的基于图片的随机验证码系统实例,涵盖了ASP交互、随机数生成、图像处理、ISAPI扩展、资源管理以及接口设计等多个IT领域的知识点,对于学习和理解验证码系统开发具有很高...
ASP.NET源码——随机签名(刷新一下页面就一次) .net源程序_.zip
10-10
在给定的压缩包文件中,"随机签名(刷新一下页面就一次) .net源程序_randomword"可能是实现了一种基于ASP.NET的动态验证码技术。验证码的主要目的是为了防止自动化的机器人或者恶意软件进行非法操作,比如防止垃圾...
一贝图片投票系统 v6.7 (防刷票版).zip
06-19
9. **技术支持与服务**:一贝图片投票系统背后的技术团队提供持续的更新维护和技术支持,保证系统的稳定运行,并随时解决用户在使用过程中遇到的问题。 10. **多语言支持**:为了满足不同地区用户的需求,系统可能...
如何设置一定时间内只能发送一次请求
09-04
在IT行业中,尤其是在Web开发领域,限制用户在一定时间内只能发送一次请求是非常常见的需求,这通常用于防止重复提交、刷票、恶意攻击等场景。以下将详细解释如何实现这一功能,以及涉及的相关知识点。 首先,我们...
在linux目录中设置权限设置,linux下为目录和文件设置权限(示例代码)
weixin_33622085的博客
04-28 1223
chmod 命令可以改所有子目录的权限,下面有2种方法改一个文件的权限: chmod mode file|dir改所有子目录的权限: chmod mode dir -R 注意后面加了个-R参数参数就是权限模式 mode = 777 or 752 ,666,,,mode 的三个数字,分别表示owner,group,others所具有的权限。1 = x 执行 ...
【小萝莉说Crash】第一期:Unrecognized selector sent to instance xxxx
腾讯Bugly的专栏
05-30 3419
大家好,我是来自Bugly Crash实验室的小萝莉(害羞ing),很高兴能和大家一起讨论关于移动终端App的Crash问题及解决方法。 在上次的“精神哥讲Crash”系列中,精神哥给大家分享了小白埋坑,让人泪奔的惨痛经历。这或许会让广大机器猿大呼多么痛的领悟,而以为高大上的水果猿也庆幸还是水果靠谱。然而,coding路上,哪有不挖坑的小白,哪有不被坑的小猿呢? 从本周开始,萝莉会定期给大家分
JavaScript 常见安全漏洞及自动化检测技术(转自IBM技术博客)
weixin_34384681的博客
12-18 712
2019独角兽企业重金招聘Python工程师标准>>> ...
基于SpringBoot仿天猫购物系统.zip(毕设&课设&实训&大作业&竞赛&项目)
09-20
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问题欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
Python网络爬虫与推荐算法新闻推荐平台(毕设&课设&实训&大作业&竞赛&项目)
最新发布
09-20
Python网络爬虫与推荐算法新闻推荐平台:网络爬虫:通过Python实现新浪新闻的爬取,可爬取新闻页面上的标题、文本、图片、视频链接(保留排版) 推荐算法:权重衰减+标签推荐+区域推荐+热点推荐.zip项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问题欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
THUCNews数据集
09-20
THUCNews数据集
自建投票系统与原生JS刷票技巧实操
本文主要探讨的是如何创建一个简易的投票系统,并分享了关于JavaScript刷票的思路和方法。...他强调了动手实践的价值,即使技术基础有限,也...对于开发者来说,这是一个了解基本的前端开发和防止恶意刷票策略的宝贵资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值