freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一次微信刷赞的曲折之旅
2021-10-25 23:12:21

某天幼儿园弟弟要求朋友圈转发投票,一名hacker如果发这种朋友圈是会被其他hacker笑死的。于是,就当做了一道ctf题目,顺便输出文章稳固一下我的tools会员,防止又变成僵尸,哈哈哈哈。

没想到文章在tools论坛上反响还不错,于是继续发表在freebuf上,赚点金币,哈哈哈哈。

1.只能在微信里投票,浏览器看不了页面提示要使用手机微信打开,bypass,把UA头改成微信的UA即可。投票显示每人每天只能投一票,继续bypass。2.抓包添加微信UA头,添加xff头3.爆破随机ip,1-2554.成功刷票,头像不认识,仅作技术演示

5.考虑到可能会被发现,以下是伪装方法:

a.最好遍历一下访问量的包

b.xff的IP也最好是真实的

c.帮其他的孩子刷一下票,这样伪装就比较难溯源了

d.时间问题,最好不要在晚上刷票,要伪装成正常人的样子,白天刷。

只是小孩子的投票游戏,大概率不会被溯源,但是身为一名hacker当然要做到隐匿踪迹了。

6.第二天发现被别人靠买礼物得赞的方式超过去了,于是想再刷一下,发现触发了风控规则被禁了账号,仔细研究了一下触发的规则,最后得出的结论是每人每天最多只能投300票,如果再投页面投票的按钮就无响应了,如果继续使用burp刷票,就会被封禁账号,直到晚上12点才可以解封。

下一步的计划:

a.如何绕过这个风控规则呢?

我的方法是只能等到晚上12点后继续刷

师傅们有什么好的思路希望提供一下。

b.礼物刷赞的逻辑漏洞测试。

7.第二天账号恢复之后进行深入测试发现一个异常参数

修改为817之后,助力加赞(也就是刷礼物)的按钮就不见了,重复上面的操作,这时不知道为什么就又可以刷300赞了,这样,每天的上限赞数就是600了,感叹参数多就是容易出bug。

815:投票尚未开始

816:可以助力加赞

817:助力加赞消失

818:投票已结束

8.刷了600赞后,内心仍然不满足,想要继续测试,这次要小心控制爆破的次数防止被禁账号,果然超过600后就不能刷了,但是我发现再过大约1小时左右就又可以继续刷了,这样的话刷赞就无止境了刷到第一都不成问题,礼物刷赞的功能就形同虚设了,但是盗亦有道,第一就不刷了,该止步止步。

9.其他还有很多测试的地方,比如:

a.他的后台是thinkphp简单测了一下没有高危漏洞,但是如果构造报错会显示网站绝对路径等敏感信息.

b.还有礼物刷赞的逻辑测试,由于涉及到金额和账户实名的问题,就止步了,目的达到就好,我不想被溯源,不要小看愤怒的程序员,1024节日快乐,哈哈哈哈哈!

10.最后怎么能没有修复呢?

参考:

https://www.jb51.net/article/59622.htm

https://www.zhihu.com/question/19582710

这种投票行为某种程度上各有利弊,资本的洪流无力阻挡,这个世界上没有绝对的公平,作为一名道德黑客只能做些力所能及的事情,就当是收尾工作。友谊第一,比赛第二!

# web安全 # 逻辑漏洞 # 刷量
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者