微信刷票漏洞详解, Python脚本实现一秒破万!

image

用到的工具：

插件源码

fiddler 4

python

开始研究

用fiddler进行抓包的数据，微信打开的，抓取到了投票POST表单的链接和数据还有cookie

参数 :

zid 是用户ID

formhash 是dz的验证之类的,大概看了下最后发现这个东西然并卵(对于本次刷票来说)

hejin_toupiao 通过这儿来判断是禾今程序的，一百度就搞定

Cookie:

image image

分析源码

网上找了套插件源码来看看，其实开始没抱有多大希望的，模拟提交数据后就一直在研究模拟伪造数据提交，不过没希望。

开源码包，开箱验货。

image image image image image image

每一次有效数据都在，留着备用，开始看投票流程的代码，其实也很简单 PHP一看基本大体流程就熟悉了

image image image image image image image image image

刚入门的python拿来用用

一段代码有点长 有兴趣的自己慢慢看

image

测试了基本上原有的提交投票的表单数据不变，只变更openid就可以了

直接开始下载其他选手的投票数据然后把所有投过票的openid复制下来（投票过的openid是存在数据库的，陌生的openid需要通过微信来获取）

把openid全部装入redis队列里面，然后修改python模拟请求，每次获取一个openid进行提交三次投票。

image image image image image