吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14961|回复: 131
收起左侧

[Web逆向] bilibili评论和视频刷赞思路

    [复制链接]
lostmilkyway 发表于 2021-7-7 11:05
本帖最后由 lostmilkyway 于 2021-7-7 16:58 编辑

主要是之前B站看番有个“昨夜星河万里”批量霸占各个视频的热评榜,感觉很不正常,我自己找了下找到个刷赞的软件,看了一下他的演示流程,经过简单测试大概了解了原理,在这里整理一下,另外这个漏洞已经反馈给了B站了。这是预计要点赞的评论。
psc.png

我们按一下F12在network里面对点赞操作进行抓包。
psc.png

稍微分析一下可以发现这个名为action的请求即为我们点赞时候发送的数据包,这里面包含了点赞请求接收的地址以及请求方式。
psc.png

然后往下翻,在request headers里面找到cookie信息。这个里面记录的是我们的账号登录信息,只要有它我们就可以通过B站点赞时候的用户验证,不然会提醒“账号未登录”,另外B站的登录貌似仅仅只需要发送附带这个cookie的信息就行。。。。。。
psc.png

接下来就要找到我们发送的请求信息了,在最下面的Form Data(表单数据)里面可以查看到,这里面是我们向点赞服务器提交的数据包内容。具体代表什么意思不需要了解,我们直接拿来用就行。这里面包含有点赞对象的ID,点赞操作/取消点赞,校验码之类的。
psc.png

到这里我们已经有了完整一套的,数据包请求的服务器地址,请求用户,然后请求内容,接下来我们只需要自己“创造”一个相同格式的数据包即可发送“点赞”请求。随便来到一个在线HTTP发送接口,我们构造一下请求内容。下面这个是请求的服务器地址和请求内容。
psc.png

接下来这个是请求的用户信息。随便附带一个user-agent。
psc.png

然后我们点击“发送请求”,查看返回信息。此时显示发送成功。
psc.png

我们再看一下那个评论。点了一个赞。
psc.png

也就是说,只要我们注册够多的账号,拿到对应的cookie信息,我们就可以做到对一个评论进行批量点赞从而霸榜热评。另外视频的点赞投币也是可以这样操作的。

更新*********************
    是我草率了,我刚来论坛一直在这个分区发帖,看了一下也只有“漏洞分析”这个选项比较合适。虽然这个问题是很多网站都存在的,业务流程就是这样写的,但我不认为它合理。确实“注册账号“是大头,之前B站注册是,不是必须要手机号的,完全可以脚本挂代{过}{滤}理进行批量注册,现在也可以买号,当然这东西也不是说就一定可以用它干啥,毕竟我们也用不到。这个问题说明B站没有对cookie以及用户的行为进行校验
    批量举报可以让一个帖子,一个评论,一个视频消失;
    私信爆破直接恶心人;
    霸屏引流控评就不多说了;
    等等等。这会导致出现一个庞大的水军团体。

免费评分

参与人数 37威望 +1 吾爱币 +51 热心值 +30 收起 理由
huq7197 + 1 我很赞同!
NTSB + 1 + 1 热心回复!
030404sheng + 1 + 1 热心回复!
fengbuerzi + 1 + 1 我很赞同!
geshengliaolian + 1 + 1 我很赞同!
lf19910825 + 1 + 1 我很赞同!
mesir + 1 + 1 用心讨论,共获提升!
小风孜 + 1 谢谢@Thanks!
wjw030515 + 1 热心回复!
C_zZz_K + 1 + 1 我很赞同!
公子明 + 1 + 1 热心回复!
人称昊哥 + 1 谢谢@Thanks!
九千尺 + 1 热心回复!
吾爱Po解啊 + 1 + 1 用心讨论,共获提升!
Vchan + 1 有用,警惕水军
dapaijun + 1 + 1 谢谢@Thanks!
“V” + 1 用心讨论,共获提升!
笙若 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
schedule + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
绫白Leo + 1 + 1 谢谢@Thanks!
czz404 + 1 我很赞同!
iret_52 + 1 + 1 我很赞同!
蔡爸爸牛批 + 1 + 1 感谢楼主为消灭二鬼子做出重要贡献
InvertedEntropy + 1 + 1 我很赞同!
阿不欧艾斯 + 1 用心讨论,共获提升!
北冥鱼 + 1 我很赞同!
带俗 + 1 + 1 我很赞同!
wh2510 + 1 鼓励转贴优秀软件安全工具和文档!
三滑稽甲苯 + 2 + 1 我很赞同!
pdcba + 1 + 1 谢谢@Thanks!
我爱你H大 + 1 虽然你很认真也很用心,但是这确实算不上漏洞。。
11th + 1 + 1 我很赞同!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
小菜鸟一枚 + 1 + 1 学习了
AyangLe + 1 + 1 我很赞同!
sam喵喵 + 1 + 1 谢谢@Thanks!
星空漫步 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| lostmilkyway 发表于 2021-7-7 14:57
哆啦A梦 发表于 2021-7-7 14:54
表示这个很正常啊!很多网站都是啊!正常的思维!你这就是没有验证CK和没有CK过期好像!?

是嘞,cookie不校验,数据包不混淆
侃遍天下无二人 发表于 2021-7-7 13:54
这不算漏洞吧,正常业务逻辑而已,不过对cookie校验不严格确实会给人可乘之机

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
lostmilkyway + 1 + 1 我很赞同!

查看全部评分

Hmily 发表于 2021-7-7 13:37
lostmilkyway 发表于 2021-7-7 11:06
我的天,自动排版出来这么拉胯,必吃换行符,手动点的换行不识别。。。。。反正内容也不多,可以凑活着看。 ...

我帮你编辑了,建议如果从其他地方复制粘贴,请选择右上角“纯文本”模式下粘贴,不然格式确实会有问题。

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
959935291 + 1 + 1 我很赞同!

查看全部评分

安兹乌尔恭! 发表于 2021-7-7 18:45
建议删掉人类线

免费评分

参与人数 3吾爱币 +3 热心值 +3 收起 理由
Allen_PP + 1 + 1 我很赞同!
Poko + 1 + 1 我很赞同!
fangqiezi + 1 + 1 我很赞同!

查看全部评分

轻井泽惠 发表于 2021-7-7 18:12
”昨夜星河万里“的评论明显不正常,早就和客服举报了,但一直没反馈,估计压根没去管。
刷赞早就在某圈子里横行了,曾经加过某B站群,群内共享5W多账号,cookie等参数一应俱全,都是整理好的,用python写的程序导入可以直接刷赞。
Frhvjhhv 发表于 2021-7-8 15:59
这不是正常的网站逻辑吗?你给我找一个业务逻辑不是这样的网站来。。。你带上cookie登录任何网站都可以。。。。
轻井泽惠 发表于 2021-7-7 18:20
zhouhlyf 发表于 2021-7-7 16:54
这个厉害了,不过B站账号好注册吗

早期B站注册基本无条件,写个注册机就能大量注册,现在也能,不过要XX平台
52pojie恒大 发表于 2021-7-7 17:45
b站之前抓过,大概跑一会私信就直接封消息了 加变量时间间隔可以取消
抓的粉丝列表还能看到什么时候开的会员 什么时候到期  不过都不是什么关键信息
shun2003 发表于 2021-7-7 15:29
思路值得我们学习。感谢
 楼主| lostmilkyway 发表于 2021-7-7 11:06
本帖最后由 lostmilkyway 于 2021-7-7 11:12 编辑

我的天,自动排版出来这么拉胯,必吃换行符,手动点的换行不识别。。。。。反正内容也不多,可以凑活着看。。。。

点评

我帮你编辑了,建议如果从其他地方复制粘贴,请选择右上角“纯文本”模式下粘贴,不然格式确实会有问题。  详情 回复 发表于 2021-7-7 13:37
hhxxhg 发表于 2021-7-7 13:44
要想注册足够多的账号也不容易啊
星空漫步 发表于 2021-7-7 13:48
楼主可以的 思路清晰 虽然我一直都是后端开发 但是一直没怎么想过实际生活操作一下
小萌新吧 发表于 2021-7-7 13:48
现在主要的问题就是如何册多个账号不被ban
sam喵喵 发表于 2021-7-7 13:49
这个技术对CSDN也有效吗
法克尼爹 发表于 2021-7-7 13:55
刷赞的理论都差不多、主要是帐号难
Hawke丿 发表于 2021-7-7 13:59
- -b站不需要搞这些花里胡哨的吧,感谢技术奉献
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-26 01:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表