说起刷票,可能大家都经常听到这个词,但是网上这种相关的漏洞文章却少之又少,本文将总结个人案例以及生活中碰到的情况汇总成本篇文章,刷票的行为通常是利用逻辑漏洞来实现的,比如通过伪造投票请求、绕过验证等手段来增加投票数量,从而拿到名次奖励,文章仅发表思路,这些思路不仅限于刷票。
程序开发问题,单一投票功能,用户可点击直接进行投票,且无任何限制,没有上限
利用pyton写个简单的exp:
import requests
url='http://www.domain.com/comment.php?aid=123&who=1&t=1385710179528'
while 1:
requests.get(url)
一切来自客户端的数据都是不可信的,因为这些数据全部都是在前端
1) 弹框提示,仅仅是弹框,并没有阻断后面代码执行,刷新页面继续投票,票数照常增加
2) 排除第一种情况,换个浏览器即可重新投票,或者清理下缓存即可重新投票
3) 有时候你可能也会碰到投票后按钮变为灰色,只需删除前端控制代码即可,或者直接往服务端进行发包,因为是客户端限制
有的会用user-agent进行验证,毕竟打开页面,他也许就判断你的浏览器,觉得你只经常用这个浏览器,修改user-agent即可绕过
Mozilla/5.0 (iPhone; CPU iPhone OS 10_0 like Mac OS X) AppleWebKit/602.1.38 (KHTML, like Gecko) Version/10.0 Mobile/14A5297c Safari/602.1
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.52
Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Mozilla/5.0 (Linux; Android 10; V1914A Build/QP1A.190711.020; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/77.0.3865.120 MQQBrowser/6.2 TBS/045410 Mobile Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36
Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; [email protected])
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
Mozilla/5.0 (compatible; SeznamBot/3.2; +http://napoveda.seznam.cz/en/seznambot-intro/)
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36
Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 QIHU 360SE; 360Spider
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 Google Favicon
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0
Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 Dalvik/2 ( Linux; U; NEM-AL10 Build/HONORNEM-AL10;Youku;7.1.4;) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Safari/537.36 (Baidu; P1 6.0) iPhone/7.1 Android/8.0
Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html\x09
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.55
Mozilla/5.0 (iPhone; CPU iPhone OS 14_0_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 SP-engine/2.25.0 main%2F1.0 baiduboxapp/12.4.0.13 (Baidu; P2 14.0.1) NABar/1.0
Mozilla/5.0 (Linux; Android 10; CDY-TN00 Build/HUAWEICDY-TN00; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/78.0.3904.108 Mobile Safari/537.36
Mozilla/5.0 (Linux; Android 4.1.1; Nexus 7 Build/JRO03D)
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36; 360Spider
Mozilla/5.0 (Symbian/3; Series60/5.2 NokiaN8-00/012.002; Profile/MIDP-2.1 Configuration/CLDC-1.1 ) AppleWebKit/533.4(KHTML, like Gecko) NokiaBrowser/7.3.0Mobile Safari/533.4 3gpp-gba
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.87 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 11_0_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.27 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/601.1.27
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18363
Mozilla/5.0 (Linux; Android 5.0) AppleWebKit/537.36 (KHTML, like Gecko) Mobile Safari/537.36 (compatible; Bytespider; https://zhanzhang.toutiao.com/)
Mozilla/5.0 (Linux; Android 9; ANE-AL00 Build/HUAWEIANE-AL00; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/79.0.3945.116 Mobile Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36 Edg/86.0.622.69
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 QIHU 360SE
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:36.0) Gecko/20100101 Firefox/36.0
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/75.0.3770.90 Chrome/75.0.3770.90 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.1 Safari/605.1.15
有时候会用绑定cookie来进行验证,一个cookie为一个用户,修改cookie即可绕过限制,有时候并不一定需要用户的cookie,可以随意修改两个字符尝试,也许会有意想不到的效果
有时候系统会根据ip来进行判断,一个ip投票一次,可尝试修改X-Forwarded-For,Clien-IP,可进行绕过
排除上面情况,还是使用ip进行验证,可使用ip代理池进行绕过
import requests
from random import choice
# 代理池列表
proxy_list = ['http://ip1:port1', 'http://ip2:port2', 'http://ip3:port3']
# 随机选择一个代理
proxy = choice(proxy_list)
# 构造请求头
headers = {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3'}
# 发送请求
try:
response = requests.get('http://www.example.com', headers=headers, proxies={'http': proxy})
print(response.text)
except:
print('请求失败')
tips:路由器每次重启ip不一样,手机开飞行模式也一样,代理ip也可以
测试刷票漏洞时可以观察下阅读量,如果票数大于阅读量肯定就是刷票,假设根据前面的姿势刷票投到了第二,但某产商说我们统计结果会有人工判断,如果发现会进行漏洞降级,此时需要你的投票数量一定要符合阅读范围之内,如果绕过了限制进行刷票时,持续了一段时间失败了,请看浏览量,也许在此处做了判断
Csrf简介:攻击者利用用户已经登录的身份,在用户不知情的情况下向服务器发送恶意请求,从而实现攻击目的。攻击者通常会在第三方网站上植入恶意代码,当用户访问该网站时,代码就会自动向目标网站发送伪造的请求,从而欺骗服务器执行非法操作
Burp的Engagement tools功能可直接生成CSRF_PoC
如果站点存在xss,储存Xss就不用说了,配合Csrf直接自动化刷票了,即使是反射Xss也可以进行利用,比如"看这个人的票数好高,大家看看他是不是刷票:http://domain.com" 同时网址缩短后做上跳转收集用户的Cookie,接着遍历Cookie批量发包即可实现刷票,如有Csrf也可以利用Csrf实现自动化刷票,相对没有储存Xss利用方便
有的候系统在点击投票时会生成一个验证值,可能在Get,Post,Cookie,修改他们给的判断值即可实现刷票
利用前面方法我们无法进行刷票了,都被限制了,这时我们可以利用并发线程,简单来说就是让服务器处理跟不上请求速度,线程还没有达到需要验证的地方已经发出去了很多请求,用Fiddler批量发包,导致服务器没有跟上处理,导致刷票,出现问题的几率比较高
验证码可重复使用,不提示验证码错误
验证码可控,可自行选择验证码(案例:ThinkCMF 1.X-2.X)
验证码为空,是因为程序逻辑错误,验证码验证一次之后本该退出此次验证码,生成新的,由于没有生成新的继续验证密码是否正确,8888,0000等为开发程序时设置的万能密码,方便测试,有时候会忘记删除
1111
2222
3333
4444
5555
6666
7777
8888
9999
我们的主题是绕过验证码去投票,那么可以尺寸改为很小,仅有一个数字或者字母,这样很好去识别,从而进行绕过刷票
点缀一下其他的知识:如1.png?width=100 修改width控制大小,首先可造成Ddos
该问题被人们广为关注源于PHPcms早期版本的后台登录验证码尺寸可控,可用于DDoS
验证码过于简单,可轻易机器识别,同样可实现绕过刷票
当投票前几次没有验证码,而后又出现了验证码可能是因为一个会话的尝试次数比较多,可以尝试修改会话,直接清空缓存或打开隐私窗口
这个就更简单了,可以利用在线接码平台,这里分享几个,网上有很多,挖洞注册也一样可以用
1)https://jiemahao.com/ (免费)
2)https://bestsms.xyz/ (免费)
3)https://sms-activate.org/cn (付费)
某天,早晨醒来,刚醒看到朋友发个投票的,让我投一下
先是正常投了一下,想着刚好看看测试一下,起床刷个牙,开开电脑,先抓包,分析一下,提示让用**投票
此时我再用客户端的**进行登陆抓包,发现提示还是一样
思考一下,他是如何判断我是否用的**?
我明明用的**,而提示没用**,猜测肯定是User-Agent搞的鬼
因为是客户端的**,所以User-Agent还是根据系统的显示,替换个手机的User-Agent,提示如下:
可以看到,可以进行投票了,不过提示投票过多,明天再试
此时分析Post数据包看到有个token值,猜测token来进行判断的,因为token也属于表示用户身份的特征
测试随便修改一位数,发现投票成功
遍历投票
1:
2:
一个漆黑的夜晚,接近十一点,辅导员在群里发了一个高校排行投票
打开看了下,我们学校才第三,1000+票,第一名 2W+(xxx信息工程xx)
相信他们是刷的票,搞信息的学校,肯定有大师傅
首先分析了一下,Cookie 不会验证用户:
ip 也不会验证用户:
发现上面有两个参数,一个vid 是指学校
id测试发现投票成功为4,但是投票到达一定次数就会换另一个值,Bp遍历一下
持续几十票,id就不可以用了,发现增加1位即可投票成功,既然知道了规律,那还等什么!
刷之后,稳定排名第二
针对投票这方面产商可以加强验证机制、如随机token+服务端验证,在提交表单处再次增加随机校验码等等,上面思路仅是在刷票途中用到的一些思路,最重要的是师傅们要学到技巧,用到其他情况上面,并不单单指投票,就比如看到某个功能点就会考虑存在哪些漏洞,漏洞应该在什么点会触发!
来源:https://xz.aliyun.com/t/12970
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
@学习更多渗透技能!体验靶场实战练习