逻辑漏洞背后隐藏的刷票总结
2024-1-10 12:4:55 Author: 白帽子左一(查看原文) 阅读量:10 收藏

扫码领资料

获网安教程

说起刷票,可能大家都经常听到这个词,但是网上这种相关的漏洞文章却少之又少,本文将总结个人案例以及生活中碰到的情况汇总成本篇文章,刷票的行为通常是利用逻辑漏洞来实现的,比如通过伪造投票请求、绕过验证等手段来增加投票数量,从而拿到名次奖励,文章仅发表思路,这些思路不仅限于刷票。

一、无任何验证措施

程序开发问题,单一投票功能,用户可点击直接进行投票,且无任何限制,没有上限
利用pyton写个简单的exp:

import requests
url='http://www.domain.com/comment.php?aid=123&who=1&t=1385710179528'
while 1:
requests.get(url)

二、客户端验证

一切来自客户端的数据都是不可信的,因为这些数据全部都是在前端
1) 弹框提示,仅仅是弹框,并没有阻断后面代码执行,刷新页面继续投票,票数照常增加

2) 排除第一种情况,换个浏览器即可重新投票,或者清理下缓存即可重新投票

3) 有时候你可能也会碰到投票后按钮变为灰色,只需删除前端控制代码即可,或者直接往服务端进行发包,因为是客户端限制

三、User-Agent验证

有的会用user-agent进行验证,毕竟打开页面,他也许就判断你的浏览器,觉得你只经常用这个浏览器,修改user-agent即可绕过

Mozilla/5.0 (iPhone; CPU iPhone OS 10_0 like Mac OS X) AppleWebKit/602.1.38 (KHTML, like Gecko) Version/10.0 Mobile/14A5297c Safari/602.1
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.52
Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Mozilla/5.0 (Linux; Android 10; V1914A Build/QP1A.190711.020; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/77.0.3865.120 MQQBrowser/6.2 TBS/045410 Mobile Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36
Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; [email protected])
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
Mozilla/5.0 (compatible; SeznamBot/3.2; +http://napoveda.seznam.cz/en/seznambot-intro/)
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36
Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 QIHU 360SE; 360Spider
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 Google Favicon
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0
Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 Dalvik/2 ( Linux; U; NEM-AL10 Build/HONORNEM-AL10;Youku;7.1.4;) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Safari/537.36 (Baidu; P1 6.0) iPhone/7.1 Android/8.0
Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html\x09
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.55
Mozilla/5.0 (iPhone; CPU iPhone OS 14_0_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 SP-engine/2.25.0 main%2F1.0 baiduboxapp/12.4.0.13 (Baidu; P2 14.0.1) NABar/1.0
Mozilla/5.0 (Linux; Android 10; CDY-TN00 Build/HUAWEICDY-TN00; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/78.0.3904.108 Mobile Safari/537.36
Mozilla/5.0 (Linux; Android 4.1.1; Nexus 7 Build/JRO03D)
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36; 360Spider
Mozilla/5.0 (Symbian/3; Series60/5.2 NokiaN8-00/012.002; Profile/MIDP-2.1 Configuration/CLDC-1.1 ) AppleWebKit/533.4(KHTML, like Gecko) NokiaBrowser/7.3.0Mobile Safari/533.4 3gpp-gba
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.87 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 11_0_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.27 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/601.1.27
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18363
Mozilla/5.0 (Linux; Android 5.0) AppleWebKit/537.36 (KHTML, like Gecko) Mobile Safari/537.36 (compatible; Bytespider; https://zhanzhang.toutiao.com/)
Mozilla/5.0 (Linux; Android 9; ANE-AL00 Build/HUAWEIANE-AL00; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/79.0.3945.116 Mobile Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36 Edg/86.0.622.69
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 QIHU 360SE
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:36.0) Gecko/20100101 Firefox/36.0
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/75.0.3770.90 Chrome/75.0.3770.90 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.1 Safari/605.1.15

四、Cookie验证

有时候会用绑定cookie来进行验证,一个cookie为一个用户,修改cookie即可绕过限制,有时候并不一定需要用户的cookie,可以随意修改两个字符尝试,也许会有意想不到的效果

五、IP验证

有时候系统会根据ip来进行判断,一个ip投票一次,可尝试修改X-Forwarded-For,Clien-IP,可进行绕过

排除上面情况,还是使用ip进行验证,可使用ip代理池进行绕过

import requests
from random import choice

# 代理池列表
proxy_list = ['http://ip1:port1', 'http://ip2:port2', 'http://ip3:port3']

# 随机选择一个代理
proxy = choice(proxy_list)

# 构造请求头
headers = {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3'}

# 发送请求
try:
response = requests.get('http://www.example.com', headers=headers, proxies={'http': proxy})
print(response.text)
except:
print('请求失败')

tips:路由器每次重启ip不一样,手机开飞行模式也一样,代理ip也可以

六丶当投票量大于阅读量时就是刷票行为

测试刷票漏洞时可以观察下阅读量,如果票数大于阅读量肯定就是刷票,假设根据前面的姿势刷票投到了第二,但某产商说我们统计结果会有人工判断,如果发现会进行漏洞降级,此时需要你的投票数量一定要符合阅读范围之内,如果绕过了限制进行刷票时,持续了一段时间失败了,请看浏览量,也许在此处做了判断

七、组合拳1:Csrf刷票

Csrf简介:攻击者利用用户已经登录的身份,在用户不知情的情况下向服务器发送恶意请求,从而实现攻击目的。攻击者通常会在第三方网站上植入恶意代码,当用户访问该网站时,代码就会自动向目标网站发送伪造的请求,从而欺骗服务器执行非法操作

Burp的Engagement tools功能可直接生成CSRF_PoC

八、组合拳2:Xss打Cookie刷票

如果站点存在xss,储存Xss就不用说了,配合Csrf直接自动化刷票了,即使是反射Xss也可以进行利用,比如"看这个人的票数好高,大家看看他是不是刷票:http://domain.com" 同时网址缩短后做上跳转收集用户的Cookie,接着遍历Cookie批量发包即可实现刷票,如有Csrf也可以利用Csrf实现自动化刷票,相对没有储存Xss利用方便

九、观察数据包请求(验证参数等等)

有的候系统在点击投票时会生成一个验证值,可能在Get,Post,Cookie,修改他们给的判断值即可实现刷票

十、并发线程(条件竞争)

利用前面方法我们无法进行刷票了,都被限制了,这时我们可以利用并发线程,简单来说就是让服务器处理跟不上请求速度,线程还没有达到需要验证的地方已经发出去了很多请求,用Fiddler批量发包,导致服务器没有跟上处理,导致刷票,出现问题的几率比较高

十一、听说点击投票时出现验证码?

(一)、验证码使用后不会销毁

验证码可重复使用,不提示验证码错误

(二)、生成验证码字符集可控

验证码可控,可自行选择验证码(案例:ThinkCMF 1.X-2.X)

(三)、验证码存放在暴露位置

(四)、验证码为空,或8888,0000等可绕过

验证码为空,是因为程序逻辑错误,验证码验证一次之后本该退出此次验证码,生成新的,由于没有生成新的继续验证密码是否正确,8888,0000等为开发程序时设置的万能密码,方便测试,有时候会忘记删除

1111
2222
3333
4444
5555
6666
7777
8888
9999

(五)、验证码尺寸可控

我们的主题是绕过验证码去投票,那么可以尺寸改为很小,仅有一个数字或者字母,这样很好去识别,从而进行绕过刷票

点缀一下其他的知识:如1.png?width=100 修改width控制大小,首先可造成Ddos
该问题被人们广为关注源于PHPcms早期版本的后台登录验证码尺寸可控,可用于DDoS

(六)、验证码过于简单,可轻易机器识别

验证码过于简单,可轻易机器识别,同样可实现绕过刷票

(七)、会话绕过

当投票前几次没有验证码,而后又出现了验证码可能是因为一个会话的尝试次数比较多,可以尝试修改会话,直接清空缓存或打开隐私窗口

十二、听说还有手机号验证码投票?

这个就更简单了,可以利用在线接码平台,这里分享几个,网上有很多,挖洞注册也一样可以用
1)https://jiemahao.com/ (免费)
2)https://bestsms.xyz/ (免费)
3)https://sms-activate.org/cn (付费)

某天,早晨醒来,刚醒看到朋友发个投票的,让我投一下

先是正常投了一下,想着刚好看看测试一下,起床刷个牙,开开电脑,先抓包,分析一下,提示让用**投票


此时我再用客户端的**进行登陆抓包,发现提示还是一样

思考一下,他是如何判断我是否用的**?
我明明用的**,而提示没用**,猜测肯定是User-Agent搞的鬼

因为是客户端的**,所以User-Agent还是根据系统的显示,替换个手机的User-Agent,提示如下:

可以看到,可以进行投票了,不过提示投票过多,明天再试
此时分析Post数据包看到有个token值,猜测token来进行判断的,因为token也属于表示用户身份的特征
测试随便修改一位数,发现投票成功

遍历投票

1:

2:

一个漆黑的夜晚,接近十一点,辅导员在群里发了一个高校排行投票

打开看了下,我们学校才第三,1000+票,第一名 2W+(xxx信息工程xx)
相信他们是刷的票,搞信息的学校,肯定有大师傅
首先分析了一下,Cookie 不会验证用户:

ip 也不会验证用户:


发现上面有两个参数,一个vid 是指学校
id测试发现投票成功为4,但是投票到达一定次数就会换另一个值,Bp遍历一下

持续几十票,id就不可以用了,发现增加1位即可投票成功,既然知道了规律,那还等什么!

刷之后,稳定排名第二

针对投票这方面产商可以加强验证机制、如随机token+服务端验证,在提交表单处再次增加随机校验码等等,上面思路仅是在刷票途中用到的一些思路,最重要的是师傅们要学到技巧,用到其他情况上面,并不单单指投票,就比如看到某个功能点就会考虑存在哪些漏洞,漏洞应该在什么点会触发!

来源:https://xz.aliyun.com/t/12970

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@
学习更多渗透技能!体验靶场实战练习

hack视频资料及工具

(部分展示)

往期推荐

【精选】SRC快速入门+上分小秘籍+实战指南

爬取免费代理,拥有自己的代理池

漏洞挖掘|密码找回中的套路

渗透测试岗位面试题(重点:渗透思路)

漏洞挖掘 | 通用型漏洞挖掘思路技巧

干货|列了几种均能过安全狗的方法!

一名大学生的黑客成长史到入狱的自述

攻防演练|红队手段之将蓝队逼到关站!

巧用FOFA挖到你的第一个漏洞

看到这里了,点个“赞”、“再看”吧

文章来源: http://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247604838&idx=1&sn=0ed584f2f814e99125168d5963ee1fef&chksm=ea90663f2a1f3c59203e0311ed277a47ddf8e5f9de9d3dcf617032991e039f09039a6ee3efdf&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh