python实现在有漏洞的网站实现自动注册、登录、点赞

必须有以下几个漏洞才能实现该功能：
1.验证码是假的，有图片，但是实际输入的验证码与图片无关；否则的话必须要用到python的图像识别的模块
2.注册时不需要邮箱验证，所以注册填写的邮箱地址是任意的，只要符合邮箱输入栏的正则表达式就可以了。（相当于在对方服务器的数据库添加了一堆没用的邮箱账号）

所以这个东西很局限（正常的网站都不会有这些漏洞），只能用于爬虫的相关学习。

---

安装requests模块

首先，你需要对网站发出请求，所以你需要安装python的requests模块。

在MacOS的系统下，如果你已经安装了python的pip工具，那么只需要在控制命令行中输入：

$pip3 install requests

这边用pip3是因为给系统里面的python3.X安装这个模块
就会自动安装。

若没有pip，则先用easy-install安装pip：

$easy-install pip3

还有几个用于爬虫的模块，例如beautifulsoup ,urllib等等。

在windows环境下，如果安装了pip工具应该也是一样的方法。

---

进行分析

1.分析注册传递的数据

如果安装完了requests模块的话，接下来就可以进行对这个注册登录的操作进行分析，但是这里推荐使用goole的浏览器chrome。

打开注册地址，右击——>检查，选择network（网络），如果上面有东西先清除掉：

[email protected]

然后输入一个测试的邮箱，随便输入一个验证码：

[email protected]

点击下一步，观察network里面的数据：

[email protected]

正常来说应给是第一个，发现请求方式是POST，说明是有向服务器上传数据的，然后往下拉，找到form data：

[email protected]

这里面就很清楚了，里面上传的是刚刚我们输入的账号和密码，还有其他的一些东西，先把它保存下来，待会需要模拟上传数据。

接下来是这个输入密码的界面了：

[email protected]

我们试一下输入1234（要两次都一样，有的网站是需要大小写字母之类的，取决于里面的正则表达式），再次把network清空，点击完成注册：

[email protected]

找到第一个POST包的form data：

[email protected]

发现这里面就是刚刚输入的密码（其实一些比较好一点的网站都会有加密的，所以正常是看不出真正的密码的，例如qq空间登录时传递密码的data是经过加密处理的）。

到这一步的话，就已经成功一小半了，基本可以实现注册和登录了（虽然没有演示登录，但是是一样的，只不过传递的form data里面是账号密码和其他一些东西而已）。

2.分析点赞的时候传递的数据

找到一个东西如下：

[email protected]

点击星星，找到network里面发送的数据包：

[email protected]

我们不难发现，它是通过向Requset URL
post了一个数据包form data，里面有一个productld：4557。
这里的4557有可能是商品的代码。
然后再找到另一个商品，再次点赞，分析，发现确实是商品的一个代码。

OK，做到这里，我们已经分析完毕了，已经找到需要post的所有数据包了，那么接下来就开始码代码实现模拟这个过程了。

---

代码实现

import requests
import random
times = 0  # 计次
number = input('请输入需要点赞的次数：')
item_code = input('请输入商品的代码：')
for i in range(1, int(number)):
    a = random.randint(1, 99999999999)  # 随机生成邮箱中的字段
    username = '100456456002' + str(a) + '@163.com'  # 随机生成邮箱
    Session = requests.session()   # 生成一个新的会话窗口
    url_register1 = 'http://www.05928024555.com/m/register/step1'  # 注册页面（账号）
    data_username = {
        'param': '',
        'registerType': 2,
        'system': 'mRegister',
        'customer.username': username,
        'randomCode': '1234',
        'smscn': ''}  # post账号表单，以及虚假的验证码
    url_register2 = 'http://www.05928024555.com/m/register'  # 注册页面（密码）
    data_password = {
        'userCardNo': '',
        'password': '1111',
        'passwordConfirm': '1111'}  # post密码表单
    Session.post(url=url_register1, data=data_username)  # 模拟输入账号并进入下一个页面
    Session.post(url=url_register2, data=data_password)
    # 模拟输入密码并注册
    Session.post('http://www.05928024555.com/m/account/favorite/add',
                 data={'productId': item_code})  # 该出4558为作品编号
    times += 1
    print('已经点赞%d次' % times)

---

这样就实现了简单的一个操作，但是几乎所有的网站都不可能让我们这样做，所以并没有什么价值，只能用来学习一下。大部分原理都差不多，只不过是复杂程度不同而已，例如进行校园网登录的时候需要使用的 lt 这个表单数据，而这个数据是随机的，你需要在登录页面的源码里面找到这个东西才能实现登录。