Fiddler抓包发包模拟人工投票
萌新第一次发帖,没啥技术含量,大家看个热闹吧:Dweeqw直入主题最近一个同学发微信拉票,找我投票,投票后发现平台没有常见的微信id登陆和验证码,直接点击投票后票数就+1,于是考虑看能不能使用fiddler发包实现模拟人工投票。
首先将手机流量代{过}{滤}理到Fiddler中,论坛中有大神详细写过就不说了,代{过}{滤}理完后fiddler中会显示手机发的包,手机打开百度,可以看到代{过}{滤}理已经成功,fiddler显示了百度的手机网址
紧接着打开我们的投票界面,等待界面加载完成后,点击fiddler上面的小叉叉将fiddler左边的栏目remove all,方便我们找到确认投票的包,
可以看到我们假设投票的用户是1027票,我们在清空Fiddler后点击两下1027票,即取消投票,再次投票,发生两次操作,之后看Fiddler有没有抓到包,发现Fiddler抓取了两个包,可以知道这两个包即投票和取消投票的操作,我们点开两个包对比,发现是GET请求,通过status=0和status=5来区分投票和取消,后面的一些参数还没学会怎么解。
知道对应包后我们尝试一下能不能直接发包模拟人工投票,首先我们取消对一个人的投票,然后将之前获取的投票包用Fiddler自带的工具发送出去,具体而言就是将RAW中的内容复制到Composer中
需要注意RAW的第一行在Composer中需要手动输入到标题栏中,之后点击右上角执行,再次打开投票界面的时候发现取消的投票已经投上了,即完成了我们的投票模拟。
之后本着一颗探索的心,想着如果我们是投票的状态,再次发送投票包会怎么样,经过验证发现会取消投票,然后最后尝试了一下如果我们是取消投票的状态,发送取消投票的包会怎么样,然后开启了新大陆,发现在取消投票状态下,我们发送status=0的取消投票的包会让票数增加,并且不会受到限制,发送几次就会增加相应的票数,猜测可能是一个BUG,但是技术不够好,平常主要看看脱壳破解区,还不太会逆向这一块,所以不懂原理。第一次尝试,无意中发现了一种刷票的途径,但是本着学习为目的,在验证方法可行后就没刷了,而且这种没验证码,不要求微信登陆的投票还是比较少的。通常情况应该是需要修改一些参数,例如微信登陆的投票在包里会有ID信息等,需要对包详细分析
这种过滤不严的投票,还可以检测一下有没有检测是否使用微信客户端,
如果没有检测的话,也可以用狐火浏览器的web控制台抓包修改包提交试试。
如果不限制ip的话,也可以抓到投票地址用浏览器刷新或者模拟点击的方式刷票。
如果只限制ip不限制验证码也不限制客户端的话,还可以用代{过}{滤}理猎手,去代{过}{滤}理服务器网站拷贝一堆当天的代{过}{滤}理ip,
按照代{过}{滤}理猎手要求的格式弄到代{过}{滤}理猎手里面。然后将抓到的投票地址(访问一次就相当于投一票的那种)设为代{过}{滤}理猎手的验证地址。
这样只要是验证之后有多少活的代{过}{滤}理ip就相当于投了多少票。 还是有点高深 能不能录个实操 会不会这种投票完全就是刷流量的存在哦,现在不需要注册、登陆、验证统统都不需要的不是有点少了,而是有些日子没见到过了。 千寻主义 发表于 2020-5-25 18:37
IP限制也没有?
没有啊,感觉就很少碰见,一般刷票的成本主要就是买IP池的费用和买微信ID的费用把,这个网站我看太弱了所以尝试了一下 oоoоО○ 发表于 2020-5-25 18:44
会不会这种投票完全就是刷流量的存在哦,现在不需要注册、登陆、验证统统都不需要的不是有点少了,而是有些 ...
有可能是实习生程序员去百度撸的古董代码拿上来了,赶紧薅没毛病 后台发现不了吗 hujianxun 发表于 2020-5-25 19:30
后台发现不了吗
如果要发现应该能发现,但是刷票的防范手段一点没有。估计是不会管了 楼主运气够好的啊。 感谢分享,学习了