投票常见漏洞分析溯源

最新推荐文章于 2023-04-16 15:35:04 发布
最新推荐文章于 2023-04-16 15:35:04 发布
阅读量259 收藏
点赞数
分类专栏: fresh_dog 文章标签: 安全 http 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53533676/article/details/127200977
版权

墨者网址:投票常见漏洞分析溯源

image-20221007221914533

  1. 开启靶场,进入

image-20221007221838203

  1. 随便投一票image-20221007222123335

  2. 根据题目提供的线索

    1、User-Agent的理解
    2、X-Forwarded-For的理解
    3、使用BurpSuite工具修改内容

    所以大概推断修改User-Agent来实现微信登录,并通过修改X-Forwarded-For(主义首写字母大写)改变用户的ip实现多次投票

    User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.98 MicroMessenger/6.0NetType/2G

    X-Forwarded-For:192.168.1.1

  3. 随便投一票(但看别人说2019才会有key)并使用BurpSuite抓包,修改U-A和XFF,发送到intruder里进行攻击

image-20221007224056312

image-20221007224122047

开始攻击,结束后数刷新页面,得到flag

image-20221007224203642

zer0o00
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信投票软件制作代码
qq_43255022的博客
09-22 5105
当下微信投票热,大家都比较喜欢进行刷投票,那么是否可以用微信投票软件来操作呢?当然是可以的,那么微信投票软件,如何编写?你们应该不是很了解,在此小编给大家分享下微信投票软件的教程,希望对大家有帮助。 投票软件,制作教程及源代码分享 BeautifulSoup+selenium +firefox from bs4 import BeautifulSoup from selenium import w...
墨者网络安全——投票常见漏洞分析溯源
weixin_53980169的博客
07-22 1524
墨者网络安全之投票常见漏洞分析溯源
渗透测试-微信刷票漏洞(IP伪造)
道阻且长,行则将至。
08-22 7165
靶场环境 墨者学院: https://www.mozhe.cn/bug/detail/WTNpdGxUS3l4dG9uMFF6ZEs3OEJCdz09bW96aGUmozhe 攻击过程 尝试直接投票,提示“请使用微信打开”: 那就使用微信访问并成功投票,二次投票时发现受到限制,无法刷票: ...
投票常见漏洞分析
weixin_51646864的博客
10-18 2680
分析:目前一些投票网站采取的是获取用户ip来限制每个用户的投票数量,例如某些网站只允许每位用户投一次票,但我们可以采取修改ip来进行多次投票(恶意刷票)。 靶场测试: 1、进入靶场,观察到需要使用微信投票,使a2019号票数最高 2、点击投票并使用bp开始抓包,猜测需要修改User-Agent伪造成微信端 3、去百度搜索了一下安卓微信端数据包常见的User-Agent 4、将刚才拦截的数据包的User-Agent字段修改为百度上找到的安卓微信端的User-Agent 5、在数据包下面添加X-For
burpsuite微信抓包
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
04-16 1380
2、打开网络偏好设置,点击高级,配置HTTP和HTTPS的代理。4、打开“钥匙串访问”,选择登录,把burp证书拖进去。5、双击burp证书,选择始终信任。3、下载burpsuite证书。点击“好”,然后点击“应用”系统环境为macos。
使用burp-suite对投票系统进行攻击
m0_74358546的博客
11-14 1462
burp-suite对于投票系统的攻击
WebShell文件上传漏洞分析溯源
02-22
WebShell文件上传漏洞
WebShell文件上传漏洞分析溯源(第3题)
02-22
WebShell文件上传漏洞 修改代码
溯源取证-流量分析 中级难度的资源
05-30
溯源取证-流量分析 中级难度的资源
攻击应急溯源的一些常见思路.pdf
09-13
蓝队溯源常见思路
某服务器应急事件分析溯源报告
最新发布
04-30
某服务器应急事件分析溯源报告,网页篡改类型应急响应报告,欢迎下载。
【爬虫】修改Chrome浏览器的UserAgent
想当运维的程序猿
03-26 2158
【代码】修改Chrome的UserAgent。
Chrome的User-Agent Switcher插件(被篡改)含有木马,请用户自查
blackorbird的博客
09-09 1924
虽然在国外在40天以前就有消息在讨论了,但刚才通过一个论坛发现中招的人还不少,发出来警告一下地址:https://news.ycombinator.com/item?id...
微信在不同手机系统的User Agent
热门推荐
向着太阳不停的奔跑
05-03 1万+
转载自:https://zhangzifan.com/wechat-user-agent.html UserAgent User-Agent(用户代理)字符串是Web浏览器用于声明自身型号版本并随HTTP请求发送给Web服务器的字符串,在Web服务器上可以获取到该字符串。 Android 系统下的微信 User Agent Mozilla/5.0 (Linux; Android 7.1...
墨者学院-投票常见漏洞分析溯源
JimWu的博客
09-05 747
投票常见漏洞分析溯源 难易程度:★ 题目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,进入投票,发现需要登录微信才能投票。 说明我们不仅要暴力破解,还需要伪造user-agent。 2.启动burpsuite,投票时截包,右键send to intruder 3.把user-agent修改为Mozilla/5.0 (iPhone; CPU iPhone OS...
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1588
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
burpsuite使用简介
john_david_的博客
02-14 1439
上次讲解了burpsuite pro v2beta安装激活,现在就来介绍一下burpsuite的简单使用,这里只介绍一些在CTF常用的功能,对于渗透扫描等高级的功能童鞋们就自己看资料学习吧,目的是教会萌新小白简单使用抓包,爆破等功能。演示环境采用靶场,实际环境可能存在一些防护需自己灵活变通。 抓包代理配置 burpsuite代理设置 burpsuite默认设置了代理127.0.0.1:8080如...
对某投票网站的刷票方式
遥远的星星
10-13 4260
投票网站一般而言主要鉴别方式是IP地址,当然也有微信的(openid),微信的方式基本无法刷票,只能通过多个微信号方式。本文以普通的投票网站展开,鉴别ip的方式主要有三种,见如下代码: public function ip() { //strcasecmp 比较两个字符,不区分大小写。返回0,>0,<0。 if(getenv('HTTP_CLIENT_IP') &a...
BurpSuite 爆破的一次坑
weixin_46591320的博客
02-18 1631
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
请简述webshell事件分析溯源流程。
07-16
Webshell事件分析溯源流程主要包括以下几个步骤: 1. 检测和识别:通过网络安全设备、安全日志等方式,检测到可疑文件或异常行为,初步判断是否存在Webshell。 2. 定位和获取:确定存在Webshell后,需要定位...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值