分析:目前一些投票网站采取的是获取用户ip来限制每个用户的投票数量,例如某些网站只允许每位用户投一次票,但我们可以采取修改ip来进行多次投票(恶意刷票)。
靶场测试:
1、进入靶场,观察到需要使用微信投票,使a2019号票数最高
2、点击投票并使用bp开始抓包,猜测需要修改User-Agent伪造成微信端
3、去百度搜索了一下安卓微信端数据包常见的User-Agent
4、将刚才拦截的数据包的User-Agent字段修改为百度上找到的安卓微信端的User-Agent
5、在数据包下面添加X-Forwarded-For字段伪造ip
6、接下来就是常规的对ip字段进行爆破,让bp不停产生不同ip的数据包发送过去,疯狂投票。
7、等待一会就可以看到a2019已经是最高了
8、最后成功拿到key。