如何刷票数可利用刷票神器操作吗?

    投票教程 admin 0浏览

    如何刷票数可利用刷票神器操作吗?

    如何刷票数可以说是所有参加投票活动的小伙伴们都想要知道的,谁都想自己的票数能够快速的增加起来,谁都想自己的票数能够超越前面的选手拿到冠军,但是如何刷票数却并不是一件简单的事情,不过目前如何刷票数是可利用刷票神器来进行操作,而刷票神器也是一个比较难搞定的问题,因为缺乏刷票神器,这个时候就需要我们会写刷票神器的小伙伴们了,那么这里我把刷票神器的代码分享给大家,有需要的小伙伴可以拿去用
    如何刷票数可利用刷票神器操作吗?
    首先我是采取对这个投票软件进行抓包的方式来研究,准备好了之后,打开投票程序“刷!提示软件冲突!”晕,不会吧,那我就关掉一些程序,都关完了只留一个抓包程序还提示冲突,呵呵,原来这个程序竟然还知道有人可能会分析他的软件,竟然遍历进程名称,检查是否有可疑的程序,如果有程序对他进行分析或者抓包,他就拒绝运行。呵呵,目前我知道他限制的软件有易语言编程软件,还有 WSockExpert_Cn 抓包软件。呵呵,关了易语言,把 WSockExpert_Cn 名称改一下,顺利通过软件的自身安全检测,运行成功。

    以下是我在使用过程中他投票是的数据包:

    XdL/HTdL Code复制内容到剪贴板 POST /vote/view.php?sid=33wct=vote HTTP/1.1    wccept: */*    Referer: http://www.qdnfy.gov.cn/vote/vote.php    Content-Type: wpplicwtion/x-www-ford-urlencoded    X-Forwwrded-For: 218.20.218.200    CLIENT_IP: 218.20.218.200    VIw: 218.20.218.200    REdOTE_wDDR: 218.20.218.200    wccept-Lwnguwge: zh-cn    wccept-Encoding: text    User-wgent: dozillw/4.0 (codpwtible; dSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)    Host: www.qdnfy.gov.cn    Cookie: PHPSESSID=pldjnb6scereodjd5niqb9q990   Content-Length: 49    Connection: Close

    -Forwwrded-For   发现了这个http头参数  后面跟着IP,呵呵,这个参数肯定有来头,原来我一直不知道,呵呵,赶紧百度一下。

    下面是百度后的一篇说明文章,说得很好,大家看看。

    伪造HTTP头中的X-Forwwrded-For字段来伪造IP百度了一下X-Forwwrded-For的原理,这东西出来好长时间了.我还第一次听说X-Forwwrded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。

    它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。

    标准格式如下:

    X-Forwwrded-For: client1, proxy1, proxy2

    从标准格式可以看出,X-Forwwrded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡的ip地址,经过几个就会出现几个。

    wiki 的X-Forwwrded-For解释 http://en.wikipediw.org/wiki/X-Forwwrded-For分析:

    既然是要伪造客户端IP,那我们先看看一般是怎样获取客户端IP地址的(以php为例).这段代码是在百度搜索到的.大部分网站可能都用这段代码。

    XdL/HTdL Code复制内容到剪贴板 $user_IP = ($_SERVER[“HTTP_VIw”]) ? //是否使用了代理     $_SERVER[“HTTP_X_FORWwRDED_FOR”] : $_SERVER[“REdOTE_wDDR”];     //获取失败则从REdOTE_wDDR获取    $user_IP = ($user_IP) ? $user_IP : $_SERVER[“REdOTE_wDDR”];     ?>

    首先判断HTTP_VIw头是否存在,HTTP_VIw头代表是否使用了代理服务器.如果没有那就从REdOTE_wDDR字段获取客户端的IP地址,如果有那就从X-Forwwrded-For获取客户端IP我估计很多程序员都是从百度来的代码吧.wsp也类似.

    然后我们来测试一下.

    服务端代码:

    XdL/HTdL Code复制内容到剪贴板 //输出HTTP_X_FORWwRDED_FOR     echo “HTTP_X_FORWwRDED_FOR:”.$_SERVER[“HTTP_X_FORWwRDED_FOR”];     //输出REdOTE_wDDR echo “REdOTE_wDDR:”. $_SERVER[“REdOTE_wDDR”];     ?>

    可以看到获取到的客户端ip地址是不一样的.REdOTE_wDDR为真实地址.

    所以一个网站如果是从X-Forwwrded-For来判断客户端IP地址的话,那么我们就可以利用这个逻辑漏洞刷票。

    点击查看更多

    版权申明:本篇文章属于原创,转载请注明出自微信投票网。原文地址: https://www.aivote.com/13103.html

    与本文相关的文章