一、题目
高级黑pdd属于是,肯定不是让我们真正分享到朋友圈求着点,先看活动规则
只有这一条有用
二、解题
分析规则,我们初步猜测出这里会用的XFF伪造,而且每次都需要用不在同一/8网段的IP,像如下
68.38.64.1 和 67.38.64.1 才满足条件,百度了一下,IP地址分为A,B,C,D,E五类,常用的是B,C两类
A:0-127
B:128-191
C:192-223
D:224-239
E:240-255
也就是说这里最多能伪造256次,即有256个好友为您助力
开始操作,随便点几下助力看看
果然是需要伪造了
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip
————————————————
版权声明:本文为CSDN博主「米斯特怀特墨客」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/slj1552560/article/details/113825428
抓包放到Repeater里头
post上去的ip值和XFF的值一样才行,那么后面我们直接用相同字典爆破就可以
配置如下
选择攻击方式为Pitchfork(英文的意思是分叉,就选了这个,可能是因为同时爆破多个变量吧)
Payload set的1和2设置必须一样,选择Payload的类型为Numbers,就免得我们自己写程序输出了,注意这里的Step为1,即不间断的自然数
开始爆破
可以看到爆破到10这里出了点异常,Response里头说的是操作速度过快,那我们把爆破的速度调慢一点,反复测试之后把Throttle调到1300左右就不会报错
等他爆破完之后我们返回首页,直接提现flag就拿到了
三、总结
1. 这里就是对XFF伪造的利用,其实要是一开始没想到的话,你用同一个IP反复助力它会提示“让全世界的好友来为你助力”,依据这个也能联想到
2.我之前以为/8网段只有255个,到最后一直差一点凑不齐,还以为不是预期解,看到256个刚刚好凑出来之后就放心了,出题人挺有想法
3. BP功能确实挺齐全的,属于是把安全人员(hacker)的心思拿捏到位了