逻辑漏洞背后隐藏的刷票总结
2023-11-6 00:2:2 Author: 李白你好(查看原文) 阅读量:33 收藏

免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

1

前言

说起刷票,可能大家都经常听到这个词,但是网上这种相关的漏洞文章却少之又少,本文将总结个人案例以及生活中碰到的情况汇总成本篇文章,刷票的行为通常是利用逻辑漏洞来实现的,比如通过伪造投票请求、绕过验证等手段来增加投票数量,从而拿到名次奖励,文章仅发表思路,这些思路不仅限于刷票。

2

无任何验证措施

程序开发问题,单一投票功能,用户可点击直接进行投票,且无任何限制,没有上限
利用pyton写个简单的exp:

import requestsurl='http://www.domain.com/comment.php?aid=123&who=1&t=1385710179528'while 1:    requests.get(url)

3

客户端验证

一切来自客户端的数据都是不可信的,因为这些数据全部都是在前端
1) 弹框提示,仅仅是弹框,并没有阻断后面代码执行,刷新页面继续投票,票数照常增加

2) 排除第一种情况,换个浏览器即可重新投票,或者清理下缓存即可重新投票

3) 有时候你可能也会碰到投票后按钮变为灰色,只需删除前端控制代码即可,或者直接往服务端进行发包,因为是客户端限制

4

User-agent验证

有的会用user-agent进行验证,毕竟打开页面,他也许就判断你的浏览器,觉得你只经常用这个浏览器,修改user-agent即可绕过

Mozilla/5.0 (iPhone; CPU iPhone OS 10_0 like Mac OS X) AppleWebKit/602.1.38 (KHTML, like Gecko) Version/10.0 Mobile/14A5297c Safari/602.1Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.52Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)Mozilla/5.0 (Linux; Android 10; V1914A Build/QP1A.190711.020; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/77.0.3865.120 MQQBrowser/6.2 TBS/045410 Mobile Safari/537.36Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)Mozilla/5.0 (compatible; SeznamBot/3.2; +http://napoveda.seznam.cz/en/seznambot-intro/)Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 QIHU 360SE; 360SpiderMozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 Google FaviconMozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like GeckoMozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Mozilla/5.0 Dalvik/2 ( Linux; U; NEM-AL10 Build/HONORNEM-AL10;Youku;7.1.4;) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Safari/537.36 (Baidu; P1 6.0) iPhone/7.1 Android/8.0Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html\x09Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.55Mozilla/5.0 (iPhone; CPU iPhone OS 14_0_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 SP-engine/2.25.0 main%2F1.0 baiduboxapp/12.4.0.13 (Baidu; P2 14.0.1) NABar/1.0Mozilla/5.0 (Linux; Android 10; CDY-TN00 Build/HUAWEICDY-TN00; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/78.0.3904.108 Mobile Safari/537.36Mozilla/5.0 (Linux; Android 4.1.1; Nexus 7 Build/JRO03D)Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36; 360SpiderMozilla/5.0 (Symbian/3; Series60/5.2 NokiaN8-00/012.002; Profile/MIDP-2.1 Configuration/CLDC-1.1 ) AppleWebKit/533.4(KHTML, like Gecko) NokiaBrowser/7.3.0Mobile Safari/533.4 3gpp-gbaMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.87 Safari/537.36Mozilla/5.0 (Macintosh; Intel Mac OS X 11_0_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.27 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/601.1.27Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18363Mozilla/5.0 (Linux; Android 5.0) AppleWebKit/537.36 (KHTML, like Gecko) Mobile Safari/537.36 (compatible; Bytespider; https://zhanzhang.toutiao.com/)Mozilla/5.0 (Linux; Android 9; ANE-AL00 Build/HUAWEIANE-AL00; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/79.0.3945.116 Mobile Safari/537.36Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36 Edg/86.0.622.69Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 QIHU 360SEMozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:36.0) Gecko/20100101 Firefox/36.0Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/75.0.3770.90 Chrome/75.0.3770.90 Safari/537.36Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.1 Safari/605.1.15

5

Cookie验证

有时候会用绑定cookie来进行验证,一个cookie为一个用户,修改cookie即可绕过限制,有时候并不一定需要用户的cookie,可以随意修改两个字符尝试,也许会有意想不到的效果

6

IP地址验证

有时候系统会根据ip来进行判断,一个ip投票一次,可尝试修改X-Forwarded-For,Clien-IP,可进行绕过

排除上面情况,还是使用ip进行验证,可使用ip代理池进行绕过

import requestsfrom random import choice
# 代理池列表proxy_list = ['http://ip1:port1', 'http://ip2:port2', 'http://ip3:port3']
# 随机选择一个代理proxy = choice(proxy_list)
# 构造请求头headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3'}
# 发送请求try: response = requests.get('http://www.example.com', headers=headers, proxies={'http': proxy}) print(response.text)except: print('请求失败')

tips:路由器每次重启ip不一样,手机开飞行模式也一样,代理ip也可以

7

投票量大于阅读量

测试刷票漏洞时可以观察下阅读量,如果票数大于阅读量肯定就是刷票,假设根据前面的姿势刷票投到了第二,但某产商说我们统计结果会有人工判断,如果发现会进行漏洞降级,此时需要你的投票数量一定要符合阅读范围之内,如果绕过了限制进行刷票时,持续了一段时间失败了,请看浏览量,也许在此处做了判断

8

组合拳Csrf刷票

Csrf简介:攻击者利用用户已经登录的身份,在用户不知情的情况下向服务器发送恶意请求,从而实现攻击目的。攻击者通常会在第三方网站上植入恶意代码,当用户访问该网站时,代码就会自动向目标网站发送伪造的请求,从而欺骗服务器执行非法操作

Burp的Engagement tools功能可直接生成CSRF_PoC

9

组合拳XSS打Cooike刷票

显示,长期和全面的准备阶段与第一个恶意软件样本的开发以及命令和控制(C2)基础设施的部署有关。如果站点存在xss,储存Xss就不用说了,配合Csrf直接自动化刷票了,即使是反射Xss也可以进行利用,比如"看这个人的票数好高,大家看看他是不是刷票:http://domain.com" 同时网址缩短后做上跳转收集用户的Cookie,接着遍历Cookie批量发包即可实现刷票,如有Csrf也可以利用Csrf实现自动化刷票,相对没有储存Xss利用方便

10

观察数据包请求(验证参数等等)

有的候系统在点击投票时会生成一个验证值,可能在Get,Post,Cookie,修改他们给的判断值即可实现刷票

11

并发线程(条件竞争)

利用前面方法我们无法进行刷票了,都被限制了,这时我们可以利用并发线程,简单来说就是让服务器处理跟不上请求速度,线程还没有达到需要验证的地方已经发出去了很多请求,用Fiddler批量发包,导致服务器没有跟上处理,导致刷票,出现问题的几率比较高

12

点击投票出现验证码

显示,长期和全面的准备阶段与第一个恶意软件样本的开发以及命令和控制(C2)基础设施的部署有关

(一)、验证码使用后不会销毁

验证码可重复使用,不提示验证码错误

(二)、生成验证码字符集可控

验证码可控,可自行选择验证码(案例:ThinkCMF 1.X-2.X)

(三)、验证码存放在暴露位置

(四)、验证码为空,或8888,0000等可绕过

验证码为空,是因为程序逻辑错误,验证码验证一次之后本该退出此次验证码,生成新的,由于没有生成新的继续验证密码是否正确,8888,0000等为开发程序时设置的万能密码,方便测试,有时候会忘记删除

111122223333444455556666777788889999

(五)、验证码尺寸可控

我们的主题是绕过验证码去投票,那么可以尺寸改为很小,仅有一个数字或者字母,这样很好去识别,从而进行绕过刷票

点缀一下其他的知识:如1.png?width=100 修改width控制大小,首先可造成Ddos
该问题被人们广为关注源于PHPcms早期版本的后台登录验证码尺寸可控,可用于DDoS

(六)、验证码过于简单,可轻易机器识别

验证码过于简单,可轻易机器识别,同样可实现绕过刷票

(七)、会话绕过

当投票前几次没有验证码,而后又出现了验证码可能是因为一个会话的尝试次数比较多,可以尝试修改会话,直接清空缓存或打开隐私窗口

13

手机号验证码投票?

这个就更简单了,可以利用在线接码平台,这里分享几个,网上有很多,挖洞注册也一样可以用
1)https://jiemahao.com/ (免费)
2)https://bestsms.xyz/ (免费)
3)https://sms-activate.org/cn (付费)

案例1:记一次**刷票

某天,早晨醒来,刚醒看到朋友发个投票的,让我投一下

先是正常投了一下,想着刚好看看测试一下,起床刷个牙,开开电脑,先抓包,分析一下,提示让用**投票

此时我再用客户端的**进行登陆抓包,发现提示还是一样

思考一下,他是如何判断我是否用的**?

我明明用的**,而提示没用**,猜测肯定是User-Agent搞的鬼

因为是客户端的**,所以User-Agent还是根据系统的显示,替换个手机的User-Agent,提示如下:

可以看到,可以进行投票了,不过提示投票过多,明天再试

此时分析Post数据包看到有个token值,猜测token来进行判断的,因为token也属于表示用户身份的特征

测试随便修改一位数,发现投票成功

遍历投票

1:

2:

案例2:记一次为学校排行刷票

一个漆黑的夜晚,接近十一点,辅导员在群里发了一个高校排行投票

打开看了下,我们学校才第三,1000+票,第一名 2W+(xxx信息工程xx)

相信他们是刷的票,搞信息的学校,肯定有大师傅

首先分析了一下,Cookie 不会验证用户:

ip 也不会验证用户:

发现上面有两个参数,一个vid 是指学校

id测试发现投票成功为4,但是投票到达一定次数就会换另一个值,Bp遍历一下

持续几十票,id就不可以用了,发现增加1位即可投票成功,既然知道了规律,那还等什么!

刷之后,稳定排名第二

14

结束语

针对投票这方面产商可以加强验证机制、如随机token+服务端验证,在提交表单处再次增加随机校验码等等,上面思路仅是在刷票途中用到的一些思路,最重要的是师傅们要学到技巧,用到其他情况上面,并不单单指投票,就比如看到某个功能点就会考虑存在哪些漏洞,漏洞应该在什么点会触发!

文章作者:先知社区(小陈)

文章来源:https://xz.aliyun.com/t/12970

15

关注我们

一个浏览器数据(密码|历史记录|Cookie|书签|下载记录)的导出工具

某地级市攻防演练红队渗透总结

记一次地级市攻防3W分


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247501681&idx=1&sn=815c98d42e19ac0e1a71d49e25c13bad&chksm=c09ab421f7ed3d371088784bf0afbffa58680f74ae8c8696e9b9c06e163516afa54c4c8f7005&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh