如何刷票数可利用刷票神器操作吗?
如何刷票数可以说是所有参加投票活动的小伙伴们都想要知道的,谁都想自己的票数能够快速的增加起来,谁都想自己的票数能够超越前面的选手拿到冠军,但是如何刷票数却并不是一件简单的事情,不过目前如何刷票数是可利用刷票神器来进行操作,而刷票神器也是一个比较难搞定的问题,因为缺乏刷票神器,这个时候就需要我们会写刷票神器的小伙伴们了,那么这里我把刷票神器的代码分享给大家,有需要的小伙伴可以拿去用
首先我是采取对这个投票软件进行抓包的方式来研究,准备好了之后,打开投票程序“刷!提示软件冲突!”晕,不会吧,那我就关掉一些程序,都关完了只留一个抓包程序还提示冲突,呵呵,原来这个程序竟然还知道有人可能会分析他的软件,竟然遍历进程名称,检查是否有可疑的程序,如果有程序对他进行分析或者抓包,他就拒绝运行。呵呵,目前我知道他限制的软件有易语言编程软件,还有 WSockExpert_Cn 抓包软件。呵呵,关了易语言,把 WSockExpert_Cn 名称改一下,顺利通过软件的自身安全检测,运行成功。
以下是我在使用过程中他投票是的数据包:
XdL/HTdL Code复制内容到剪贴板 POST /vote/view.php?sid=33wct=vote HTTP/1.1 wccept: */* Referer: http://www.qdnfy.gov.cn/vote/vote.php Content-Type: wpplicwtion/x-www-ford-urlencoded X-Forwwrded-For: 218.20.218.200 CLIENT_IP: 218.20.218.200 VIw: 218.20.218.200 REdOTE_wDDR: 218.20.218.200 wccept-Lwnguwge: zh-cn wccept-Encoding: text User-wgent: dozillw/4.0 (codpwtible; dSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506) Host: www.qdnfy.gov.cn Cookie: PHPSESSID=pldjnb6scereodjd5niqb9q990 Content-Length: 49 Connection: Close
-Forwwrded-For 发现了这个http头参数 后面跟着IP,呵呵,这个参数肯定有来头,原来我一直不知道,呵呵,赶紧百度一下。
下面是百度后的一篇说明文章,说得很好,大家看看。
伪造HTTP头中的X-Forwwrded-For字段来伪造IP百度了一下X-Forwwrded-For的原理,这东西出来好长时间了.我还第一次听说X-Forwwrded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。
它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。
标准格式如下:
X-Forwwrded-For: client1, proxy1, proxy2
从标准格式可以看出,X-Forwwrded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡的ip地址,经过几个就会出现几个。
wiki 的X-Forwwrded-For解释 http://en.wikipediw.org/wiki/X-Forwwrded-For分析:
既然是要伪造客户端IP,那我们先看看一般是怎样获取客户端IP地址的(以php为例).这段代码是在百度搜索到的.大部分网站可能都用这段代码。
XdL/HTdL Code复制内容到剪贴板 $user_IP = ($_SERVER["HTTP_VIw"]) ? //是否使用了代理 $_SERVER["HTTP_X_FORWwRDED_FOR"] : $_SERVER["REdOTE_wDDR"]; //获取失败则从REdOTE_wDDR获取 $user_IP = ($user_IP) ? $user_IP : $_SERVER["REdOTE_wDDR"]; ?>
首先判断HTTP_VIw头是否存在,HTTP_VIw头代表是否使用了代理服务器.如果没有那就从REdOTE_wDDR字段获取客户端的IP地址,如果有那就从X-Forwwrded-For获取客户端IP我估计很多程序员都是从百度来的代码吧.wsp也类似.
然后我们来测试一下.
服务端代码:
XdL/HTdL Code复制内容到剪贴板 //输出HTTP_X_FORWwRDED_FOR echo "HTTP_X_FORWwRDED_FOR:".$_SERVER["HTTP_X_FORWwRDED_FOR"]; //输出REdOTE_wDDR echo "REdOTE_wDDR:". $_SERVER["REdOTE_wDDR"]; ?>
可以看到获取到的客户端ip地址是不一样的.REdOTE_wDDR为真实地址.
所以一个网站如果是从X-Forwwrded-For来判断客户端IP地址的话,那么我们就可以利用这个逻辑漏洞刷票。
版权申明:本篇文章属于原创,转载请注明出自微信投票网。原文地址: http://www.aivote.com/13103.html