本文对应测试链接源自 墨者学院:投票常见漏洞分析溯源
首先进入后如下
图中所述投票给a2019争取第一名,现在a2019的票数是88票我们的目的则是让它的票数反超第一。
首先打开Burp Suite 在Burp Suite和浏览器中设置代理
设置完代理之后用Burp Suite中的Proxy模块开始截断流量
下图中已经截取到了我们发送的流量
将流量发送到Repeater模块中进行测试
我们将测试显示的内容用站长之家的在线工具进行Unicode解码
站长之家的网址
让我们用微信打开,这样的话我们修改一下User-Agent修改成微信的进行测试
测试结果如下图
继续进行Unicode解码
显示操作成功后我们从刷新下投票的页面
显示89票,比之前多了一票
如果我们重复点击它则会提示我们投票的次数已用完
所以我们需要加上x-forwarded-for 通过不同的ip来进行投票
通过修改x-forwarded-for可以重复的投票
下一步右击发送到发到intruder模块里,选用用cluster bomb,把ip的后两位修改成变量
改为下参数
点击左上角intruder中的Start attack跑一下
跑完后票数获取第一