墨者网址:投票常见漏洞分析溯源
- 开启靶场,进入
-
随便投一票
-
根据题目提供的线索
1、User-Agent的理解
2、X-Forwarded-For的理解
3、使用BurpSuite工具修改内容所以大概推断修改User-Agent来实现微信登录,并通过修改X-Forwarded-For(主义首写字母大写)改变用户的ip实现多次投票
User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.98 MicroMessenger/6.0NetType/2G
X-Forwarded-For:192.168.1.1
-
随便投一票(但看别人说2019才会有key)并使用BurpSuite抓包,修改U-A和XFF,发送到intruder里进行攻击
开始攻击,结束后数刷新页面,得到flag