我是如何绕过派卡网注册IP限制进行刷票的(IP限制绕过技巧)

漏洞概要关注数(0关注此漏洞

缺陷编号: WooYun-2013-30548

漏洞标题: 我是如何绕过派卡网注册IP限制进行刷票的(IP限制绕过技巧)

相关厂商: 派卡网

漏洞作者: 锁相环

提交时间: 2013-07-18 14:28

公开时间: 2013-09-01 14:29

漏洞类型: 设计缺陷/逻辑错误

危害等级: 中

自评Rank: 7

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org

Tags标签: 认证设计不合理

0人收藏  收藏
分享漏洞:
0

漏洞详情

披露状态:

2013-07-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

今天乌云被Struts2刷屏了,在此先向各位大牛表示祝贺以及崇敬。
绕过派卡网的注册IP限制,实现无限刷票~

详细说明:

今天乌云被Struts2刷屏了,在此先向各位大牛表示祝贺以及崇敬。我还是报个正常点的吧,这个刷票是不是不能算漏洞呢?



事情起源于某同学的摄影作品上榜了让我帮助投个票,链接如下:

http://oopka.com/forum.php?mod=viewthread&tid=1714



和大多数投票系统一样,要注册登录之后才能投票,或者也可以使用企鹅/从/微博帐号登录投票。



果断按注册,先弄一个帐号投一票试试~先是邮箱验证:





然后填写用户名密码,完成注册。





之后按正规流程投票,一切顺利~





投过票后页面提示已经无法再投票,删除cookie重新登录后也一样,看来这个新注册的帐号已经没价值了……





接下来的思路就很简单了:重复注册、投票,理论上就可以无限刷票了~写个程序自动执行的话貌似也没太大难度。。。

本以为这个故事就这么迅速地结束了,但接下来的一个发现证明了我的如意算盘打得太早了些。。。。



在顺利投出3票之后,网站居然给出了这么个提示:





不让注册了!!!

第一个思路就是不断换IP注册。可是学校的校园网给的是静态IP,虽说手上有整栋宿舍楼上网的帐号密码以及IP对应信息,但一个个设置过来还是太麻烦了。。。



第二个思路就是用代理服务器。随手试了几个代理,有的可行,有的还是提示IP限制。试了十来个代理,能用的不能用的几乎各半吧。这样下去虽说比前一个思路可行性高且方便,但貌似还是有些麻烦,而且每次换个代理发现不能投票还是挺打击积极性的- -



投票的总人数只有这么一点,为什么有这么多代理不能用呢?突然我想到X-Forwarded-For这个神奇的HTTP头(真的是突然想到的T_T)~如果网站是根据X-Forwarded-For来判断来源IP的话,可以解释上面思路二里面有的代理能用有的代理不能用的情况了。验证了一下,能用的都是匿名代理,而显示IP错误的全是透明代理。因此站点靠X-Forwarded-For判断来源的可能性相当大了~



赶紧继续实验。还是注册,用burp抓包,添加一个X-Forwarded-For头,指向一个随便打的IP地址,发送:





熟悉的提示回来啦,注册成功~





接下来去投票~同样是很顺利~





又手工注册投票了20多次,均成功。

至此,派卡网的这个注册IP限制成功被绕过,投票可以说完全没意义了,比的就是谁注册得快投得快了。写个程序去跑的话,不知道一晚上能有多少票,欢迎各位大牛自行估算~

漏洞证明:

证明见截图,已注册&投票30+。打算继续帮同学刷一点然后睡觉- -

修复方案:

你们……比我……专业



顺便问下会有礼物收吗。。。。

版权声明:转载请注明来源 锁相环@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

你可能感兴趣的:(综合)