一次Burp Suite修改内容的练习

本文对应测试链接源自 墨者学院：投票常见漏洞分析溯源

首先进入后如下

图中所述投票给a2019争取第一名，现在a2019的票数是88票我们的目的则是让它的票数反超第一。

首先打开Burp Suite 在Burp Suite和浏览器中设置代理
设置完代理之后用Burp Suite中的Proxy模块开始截断流量

下图中已经截取到了我们发送的流量

将流量发送到Repeater模块中进行测试
我们将测试显示的内容用站长之家的在线工具进行Unicode解码
站长之家的网址
让我们用微信打开，这样的话我们修改一下User-Agent修改成微信的进行测试

测试结果如下图
继续进行Unicode解码
显示操作成功后我们从刷新下投票的页面
显示89票，比之前多了一票
如果我们重复点击它则会提示我们投票的次数已用完
所以我们需要加上x-forwarded-for 通过不同的ip来进行投票

通过修改x-forwarded-for可以重复的投票
下一步右击发送到发到intruder模块里，选用用cluster bomb，把ip的后两位修改成变量
改为下参数
点击左上角intruder中的Start attack跑一下
跑完后票数获取第一