我是如何绕过派卡网注册IP限制进行刷票的(IP限制绕过技巧)

漏洞概要关注数(0) 关注此漏洞

缺陷编号： WooYun-2013-30548

漏洞标题： 我是如何绕过派卡网注册IP限制进行刷票的(IP限制绕过技巧)

相关厂商： 派卡网

漏洞作者： 锁相环

提交时间： 2013-07-18 14:28

公开时间： 2013-09-01 14:29

漏洞类型： 设计缺陷/逻辑错误

危害等级： 中

自评Rank： 7

漏洞状态： 未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org

Tags标签： 认证设计不合理

0人收藏 收藏

分享漏洞：

0

---

漏洞详情

披露状态：

2013-07-18： 积极联系厂商并且等待厂商认领中，细节不对外公开
2013-09-01： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

今天乌云被Struts2刷屏了，在此先向各位大牛表示祝贺以及崇敬。
绕过派卡网的注册IP限制，实现无限刷票～

详细说明：

今天乌云被Struts2刷屏了，在此先向各位大牛表示祝贺以及崇敬。我还是报个正常点的吧，这个刷票是不是不能算漏洞呢？



事情起源于某同学的摄影作品上榜了让我帮助投个票，链接如下：

http://oopka.com/forum.php?mod=viewthread&tid=1714



和大多数投票系统一样，要注册登录之后才能投票，或者也可以使用企鹅/从/微博帐号登录投票。



果断按注册，先弄一个帐号投一票试试～先是邮箱验证：

然后填写用户名密码，完成注册。

之后按正规流程投票，一切顺利～

投过票后页面提示已经无法再投票，删除cookie重新登录后也一样，看来这个新注册的帐号已经没价值了……

接下来的思路就很简单了：重复注册、投票，理论上就可以无限刷票了～写个程序自动执行的话貌似也没太大难度。。。

本以为这个故事就这么迅速地结束了，但接下来的一个发现证明了我的如意算盘打得太早了些。。。。



在顺利投出3票之后，网站居然给出了这么个提示：

不让注册了！！！

第一个思路就是不断换IP注册。可是学校的校园网给的是静态IP，虽说手上有整栋宿舍楼上网的帐号密码以及IP对应信息，但一个个设置过来还是太麻烦了。。。



第二个思路就是用代理服务器。随手试了几个代理，有的可行，有的还是提示IP限制。试了十来个代理，能用的不能用的几乎各半吧。这样下去虽说比前一个思路可行性高且方便，但貌似还是有些麻烦，而且每次换个代理发现不能投票还是挺打击积极性的- -



投票的总人数只有这么一点，为什么有这么多代理不能用呢？突然我想到X-Forwarded-For这个神奇的HTTP头（真的是突然想到的T_T）～如果网站是根据X-Forwarded-For来判断来源IP的话，可以解释上面思路二里面有的代理能用有的代理不能用的情况了。验证了一下，能用的都是匿名代理，而显示IP错误的全是透明代理。因此站点靠X-Forwarded-For判断来源的可能性相当大了～



赶紧继续实验。还是注册，用burp抓包，添加一个X-Forwarded-For头，指向一个随便打的IP地址，发送：

熟悉的提示回来啦，注册成功～

接下来去投票～同样是很顺利～

又手工注册投票了20多次，均成功。

至此，派卡网的这个注册IP限制成功被绕过，投票可以说完全没意义了，比的就是谁注册得快投得快了。写个程序去跑的话，不知道一晚上能有多少票，欢迎各位大牛自行估算～

漏洞证明：

证明见截图，已注册&投票30+。打算继续帮同学刷一点然后睡觉- -

修复方案：

你们……比我……专业



顺便问下会有礼物收吗。。。。

版权声明：转载请注明来源 锁相环@乌云

---

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝