fiddler抓包 破解微信投票

最新推荐文章于 2025-07-04 21:49:48 发布
最新推荐文章于 2025-07-04 21:49:48 发布
阅读量2.8w 收藏 125
点赞数 14
CC 4.0 BY-SA版权
文章标签: fiddler 抓包 破解 投票
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LZJSTUDY/article/details/81193208
本文分享了使用Fiddler抓取投票网站包的过程,详细介绍了如何设置断点、修改参数及利用抓包结果进行自动化操作的方法。面对限制措施如IP判断、openid验证和hash编码,作者展示了如何绕过这些防护,实现对后台数据的直接访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

fiddler抓包

今天接到小老板的任务,想让我给XXX刷点票。

这个投票的东西保护性做的很好,他只能每天投三个票,每个人只能投一张。我一开始用了一个bash脚本,结果没用。仔细琢磨,发现它是有以下几点的:

1:根据ip判断是否刷票

2:根据openid判断是同一个人

3:他用到了类似hash编码的东西

……

我下载了一个fiddler准备抓包,看看他的参数倒是啥。

fiddler其实就是一个代理服务器,先把要发送的信息发给代理服务器,然后再通过代理服务器发给目标网站。所以,我们能在本地的代理服务器上查看到这些信息的具体参数。

你这小东西,长得倒是挺精致~

点开之后,打开你要刷票的网页,微信的话你可以在电脑上下载微信客户端,在客户端打开投票网页。

打开表单,你可以看到他的参数。一般都是Post的表单,看起来比较安全,但是在抓包软件面前就是鸡肋。

既然知道了他的参数是啥,那么我们也该动手了。

在左下角输入bpu清理断点

然后设置断点

bpu + 目标网址

之后,重新执行,也可以重新打开这个网址。

然后就会出现这样的框,双击修改内容,然后点运行完成。

运行之后。你可以看JSON得到的结果,从这里你就可以看到你写的参数是否真的起作用了。

明白了各个参数分别代表什么,那我们就可以直接访问后台数据了。

访问

 

从左侧找到URL,复制下来。再从文本试图找到post的参数。

记录下来。

打开eclipse,新建一个web server project,写一个访问url的java文件。记住,是post的形式的,还要写上消息头。

Post这个URL和参数,加一个for循环,整个过程美滋滋。

但是有一个问题我到现在没理解,就是他加的hash这个参数,我找遍了各种参数然后把它们转成hash编码,都没得到和文中hash值相同的,可能这个加密的是人家自己写的吧。

在我找的这个网站中,知识修改了openid是不可以的,因为只修改openid的话,它会显示hash错误,由于我不知道hash秘钥或明文,肯定不知道这个参数代表的啥。所以还需要在研究研究,看看这个参数到底代表什么意思。

关于代理IP

对了,忘了说ip的事情了,单个IP有时候在大网站是不可以的(小网站不检查IP),这时候你就需要用上代理IP了,你可以去上网爬一些免费的代理IP,然后每次都用不同的IP访问,大概就是这样几。

用Python爬代理ip比较简单,可以参考其他博主写的爬ip的内容,在这儿我就不多说啦!

共勉!

Python爬虫教程:你还在苦苦拉票吗?刷票小程序案例原理剖析!
Python_sn的博客
10-22 4586
你还在苦苦拉票吗? 前言 剖析投票原理 处理思路 具体实战 主要流程 具体细节python 代码实例python 具体细节java 代码实现java 总结 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。 很多已经做案例的人,却不知道如何去学习更加高深的知识。 那么针对这三类人,我给大家提供一个好的学习平台,免费领取视频教程,电子书籍,以及课程的源代码!??¤QQ群:623406465 前言 现在生活中离不开各类的
fiddler+jmeter自动化投票
qq_34803613的博客
06-15 1159
0x00 前几年,在上一家公司需要员工为创新单位投票,每天只能投一票。那就投呗,我就多点击两下投票,界面显示“一个IP每天只能投一票”,这个提示好奇怪,“一个IP”?合着不同的IP地址就是可以继续投呗?说干就干~ 0x01 XX公司创新单位投票解决方案 方案一、员工手动刷 实施难度:低 技术难度:无 每天增长票数:100~200 优点:能够增强公司融入感,提高公司在员工心中形象。 缺点:适合双卡手机,外地出差人员使用wifi人员。 方案二、发朋友圈,让亲戚朋友帮忙 实施难度:中 技术难度:无 每天增长票数:
微信投票小程序
09-25
wxapp-survey-demo微信投票小程序,实现投票及计数统计功能
投票刷票分析
2301_79448933的博客
04-07 716
数据包伪造 利用服务器是通过获取ip方式投票 x-forwarded-for: ip 利用burp爆破,枚举 x-forwarded-for 服务器获取客户端ip方法。而且要知道这个页面是用什么语言写的,得知是PHP后,因为计票一般就是按照IP来区分计数的,所以通过PHP的获取ip代码X-Farwarded-For:ip,然后再使用Start attak,完工。
【保姆级教程】 (四)全网最强HTTP+Fiddler抓包实战超级全面图文教程,http数据包抓取,https数据包加解密
最新发布
代码讲故事
07-04 865
【保姆级教程】 (四)全网最强HTTP+Fiddler抓包实战超级全面图文教程,http数据包抓取,https数据包加解密。 Fiddler 实现 HTTPS 数据包解密的原理本质上是基于 中间人攻击(Man-in-the-Middle, MITM) 的合法化应用,其核心依赖于自签名根证书的信任机制和代理服务器的流量劫持。
禾今微信投票 29.0 + 微信助理 8.0完美破解
06-04
【禾今】微信投票——助您打开微信成功之门 注意:此插件完全依靠【禾今】微信助理并绑定微信公众开发接口,安装此插件前,请先安装【禾今】微信助理 【禾今】微信投票+【禾今】微信助理打包下载 微信投票功能介绍: 1、可设置限制投票用户IP区域,可限制省份限制,如“江苏”,也可限制城市限制,如“常州”! 2、两套投票主题风格供选择 3、强制关注公众才能投票和报名 4、可设置投票者每投一票奖励积分 5、可结合微信刮刮卡插件,用投票奖励的积分去刮卡 6、在线报名,报名时间和投票时间自定义,可设置投票期间也可报名 7、活动可灵活的设置报名是否需要审核,白天开启免审,晚上开启审核 8、设置每个用户每天可投票数,限制同一个IP每天可投票数 9、三个活动说明自定义项,可随意放置任何代码 10、后台支持手动添加作品 11、每个作品的投票记录可以清晰查看!
搞一下微信投票
齐较瘦的博客
10-11 9684
第一次搞微信投票刷票,其实也不难 前言 最近由于客户爸爸找到我,说他们在参加一场行业内评选得一个投票活动,目前名次靠后,希望我能帮助他们提供一些技术支持,我看了一下,前几名的选手肯定是采取了一些措施,由于他们行业不涉及到技术部程序员之类的,所以我猜测可能是花钱开了”挂”,那我也开”挂”搞起。 基本上大体分为三个步骤: 一、自己手机体验一手投票的乐趣。 二、看源码分析一手投票的乐趣 。 三、抓包清楚流程后,写脚本跑一手投票的乐趣。 可以开始了… 一、自己手动体验一把投票的乐趣 先看投票过程,完整按照它的正常
投票网站分析及伪造IP技术
weixin_30443747的博客
07-12 205
最近朋友需要一个投票软件,我最近也就研究了一下这个投票网站,这个投票网站有验证码,每个IP限制为一票,看起来是标准的投票网站。我先研究了一下验证码:这个投票网站的验证码开始很简单,标准位置的标准四个数字,很好识别。后来变态到位数不一定,而且还有字母,而且还位置上下不一定,这下验证码的识别,不但是软件很难识别,就连人工识别都困难。山穷水尽疑无路,柳暗花明又一村,请看下段分解!在我不断的分析和研究发现...
Fiddler新版全平台适配抓包,关键还免费,再也不用费劲找破解版了_fiddler 免费版(1)
2401_84281648的博客
04-17 2046
Fiddler Everywhere版本增强了请求调试的功能,可以针对某个请求进行测试,就像PostMan一样,那么接下来我们针对码同学VIP课程实战项目的微服务商城的【立即购买】接口进行测试。在Fiddler Everywhere这个版本中过滤的地方非常多,通常情况下我们希望只显示我们的目标域名下的请求信息,否则请求太多不好找。左侧选中要查看的请求信息,在右侧Inspections下,上半部分为请求发起的相关信息,下半部分为请求响应的相关信息。打开手机的wifi,长按wifi,修改网络。
python微信刷票脚本在哪_微信刷票Python脚本教程
weixin_39886469的博客
11-21 2887
在这个阶段,在微信朋友圈里举行的投票活动是无止境的,我相信很多学生都为此感到困扰,因为总会有个人(亲戚,朋友或其他)不时要求你帮助TA投票。本文不打算从道德或情感层面探讨这个问题。我感兴趣的是,目前大多数投票活动实际上都是明显的漏洞,“刷票”可以通过简单的技术手段实现。第一步是弄清楚具体的投票过程和可能的限制。 经过研究,总结如下: 投票需要登录 注册帐户需要验证电子邮件地址 登录不需要验证码 每...
Fiddler抓包学习笔记
数通畅联
02-26 812
背景介绍 近期笔者在逛优快云时看见一篇非常有趣的文章,文章讲述的是通过Jmeter+Fiddler来实现微信投票活动的非法拉票,所以笔者对Fiddler进行了解,了解之后才发现Fiddler作用不仅如此,它还可以进行APP的接口测试等,建议读者在阅览本篇文章时先熟悉HTTP协议,起码弄清HTTP协议五类状态码。 名词解释 Fiddler:是一个HTTP的调试代理,以代理服务器的方式,监听系...
DailyReport:中国石油大学(北京)每日自动上报打卡
03-04
每日报告 中国石油大学(北京)每日自动...建议使用微信电脑版抓包,因为手机微信7.0之后对安卓只信任自己内置的SSL证书(),或者可以尝试iOS。 具体过程: 配置小提琴手 菜单栏工具=>选项... =>选项卡HTTPS 截图捕获H
微信刷票python代码_微信刷票漏洞详解, Python脚本实现一秒破万!
weixin_39762856的博客
12-05 2803
imageimage用到的工具:插件源码fiddler 4python开始研究用fiddler进行抓包的数据,微信打开的,抓取到了投票POST表单的链接和数据还有cookie参数 :zid 是用户IDformhash 是dz的验证之类的,大概看了下最后发现这个东西然并卵(对于本次刷票来说)hejin_toupiao 通过这儿来判断是禾今程序的,一百度就搞定Cookie:关注,转发,私信小编...
CSRF(Cross-site request forgery)
fencecat的博客
07-20 987
CSRF是一个web安全漏洞,该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略,同源策略是一种用来阻止不同网站相互干扰的一种技术。 CSR跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击,用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击。
微信朋友圈投票活动的“刷票”案例分析。
lhorse003的博客
05-15 1万+
https://github.com/debugtalk/VoteRobot 现阶段,在微信朋友圈举办的投票活动层出不穷,相信已经有不少同学对此不胜其烦,因为总会时不时地冒出个人(亲戚、朋友、or whatever)来请你帮TA投票。 本文倒没有打算从道德或者情感层面来探讨这个问题,我所感兴趣的是,当前大多数投票活动其实都是存在明显漏洞的,通过简单的技术手段就可以实现“刷票”。
关于微信拉票之微信如何拉票及微信投票怎样拉票操作方法
a55223632336的博客
11-20 1810
关于微信拉票之微信如何拉票及微信投票怎样拉票操作方法,越来越多的人在平常生活中使用微信,以微信为载体的许多功能就被开发和使用了起来,比如——微信投票。于是乎,微信上兴起了各种投票,从小学生到gov部门的投票活动都有,,刷票交易也越来越火。刷票单纯在请求的技术手段上,都是正常的访问请求,基本是没法识别的,但它真的像吃瓜群众一样说的没法认出来吗?未必!     1.水军为了做更多生意自曝身份,在
微信】绕过限制,在PC上调试微信投票页、砍价页
热门推荐
小小的花园里面挖呀挖呀~
09-14 2万+
场景 假设一个手机页面,开发者对其做了限制,导致只能在微信客户端中打开。而众所周知手机上非常不利于调试页面,所以需要能在电脑上打开并进行调试。这里针对常见的三种页面做一下分析,一一绕过其限制,(当然不要拿去干坏事) 工具准备 1. 方便调试的浏览器。个人喜欢Chrome,本文基于Chrome 43.0.2357.130 (正式版本) m (32 位)环境。
使用 wireshark 抓包,在 postman 中模拟请求给小朋友投票
莫扎特不唱摇篮曲
04-17 1257
于是,我拿到了这个地址:http://hjkki.cvnxoz.cn/app/YYkEgSzlr1/home。打开 wireshark,找到对应的网卡,输入过滤条件 ip.addr == 120.26.54.231。突然某天在微信群里收到了朋友的投票请求,点进去发现不需要授权,我就喜欢这样不需要登录的投票网站。此时,找到想要投票的小朋友,单击投票,同样,我们可以拿到投票的请求地址。打开 postman ,模拟该请求,能够获取到相应的数据。截图里的 POST 请求,大概率就是投票请求地址了。
抓包投票参数
weixin_47830774的博客
05-16 313
X-Forwarded-For
fiddler抓包找回微信好友
01-21
### 使用Fiddler抓包恢复微信好友列表 利用Fiddler进行网络流量捕获可以帮助分析应用程序之间的通信,但对于尝试恢复微信好友列表这一特定需求来说,存在几个重要的注意事项。 #### 技术可行性评估 由于微信采用了严格的加密措施以及安全策略,直接通过抓包方式恢复或重建微信好友列表并不现实。即使成功拦截并解密了相关数据流,也难以从中提取有用的信息用于实际的好友关系重构[^1]。 #### 安全性和合法性考量 值得注意的是,在未经授权的情况下试图访问他人账户信息(包括但不限于联系人资料),可能违反平台的服务条款甚至触犯法律。因此建议用户遵循官方渠道提供的功能来进行必要的操作,如账号迁移、设备切换时的自动同步等正规途径处理通讯录问题[^2]。 #### 正规的数据备份与还原方法 对于希望保存重要社交关系链路以防万一的情况,应当采用更为稳妥可靠的方法: - **定期导出聊天记录**:部分版本支持将对话内容连同参与者一并导出; - **启用云服务绑定**:确保更换终端时不丢失原有连接; - **关注官方公告**:留意是否有新的特性发布能更好地满足个人需求[^3]; ```python # 这里提供一个简单的Python脚本示例, # 展示如何使用requests库模拟登录某网站(非微信), # 实际针对微信的操作需严格遵守其开发者协议。 import requests session = requests.Session() login_url = "https://example.com/login" data = { 'username': 'your_username', 'password': 'your_password' } response = session.post(login_url, data=data) if response.status_code == 200: print("Login successful!") else: print(f"Failed to login: {response.text}") ```
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值