操作步骤:
1.打开靶场,点击投票,可以发现弹出一个需要微信投票,说明我们的修改use-agrent为微信内嵌浏览器,前面的实验有说到,也可以自行百度;
除了要修改use-agrent外,我们还需要添加x-forworded-for:ip,为了能自动化刷新不同ip给a2019投票,我们需要使用bp的Intruder模块进行操作:
我们将点击投票后抓到的包右键send to intruder,之后修改use-agrent为:
添加x-forworded-for:10.1.1.1(ip随意)
分别选中ip后面两位,点击添加
之后进入payload选项进行参数设置:
可以看到我们使用了300个ip进行退票,点击攻击:
刷新一下靶机页面即可得到key
靶机地址: 投票常见漏洞分析溯源_网络安全_在线靶场_墨者学院_专注于网络安全人才培养