对不法网站测试伪造IP反被境外份子轰炸(文末抽奖)

0x01 前言

近期总有种想打一波不法站点的冲动，技术有限，打大站CDN套WAF，无限套中套，打不动，小的不好找，资产有少，经过这几年的严打，确实没怎么多见这种站点的传播了，这不是，今天就遇到一个

最近有很多师傅一直问我应急响应平台邀请码的事，我向平台负责人申请了几十个码子，继续抽奖(文末抽奖)，也感谢各位师傅的支持

文中所使用的工具会放在文章中，工具仅测试，请勿用于非法用途

0x02 事情经过

在今天，我在QQ群内看到了一个网址，大概的意思就是说网站可以挂机赚马内，这等好事我得瞧瞧

邀请链接是后是一个手机号，先捋一下平台大概运营盈利

1. 平台靠裂变的方式让用户去邀请好友注册2. 浏览广告后说是能提现，但是需要邀请200人访问链接3. 经过测试浏览人数到180多左右就不在动了对于平台的盈利我估算  1. 一分都不会给你提现，就是拿你来邀请人的  2. 首先能套到你的手机号，属于精准人群  3. 平台内功能还能套到部分人的身份信息  4. 说不定哪天换套皮直接开启ZP之路

    对于此平台的打点如下：

1. 先对平台查询了IP，IP为香港的西部数码CDN服务器，域名未备案

2. 查询了子域名，没有相关子域名，对平台FUZZ被拉黑IP，是西部数码WAF

3. 分析所有前端流量包，查看是否存在逻辑问题

注册无需验证码，随便注册，登录时api会随机生成一个token

点击此处会生成3个包，当前用户id+手机号+token获取第二个包 申请广告来源进行302跳转，接着申请第三个包给你余额，余额为后端随机生成

这里我试了，广告就那几个，做做样子而已

经过测试，增加余额的包并不会校验你之前有没有看完广告，让人是摆设，只不过不能频繁请求，开发应该是在这里做了个延时

经过手动去跑到满足提现门槛的时候尝试提现

直接让开会员，不用想了，这平台抠门到极致了，1分钱都不给啊，开会员有两种机制，付费和拉好友，这里的拉好友就是邀请好友访问你的链接，需要200好友访问，也就是200个不同的IP，如果是真实的IP，至少三分之一的人会上套，这样依此类推，就是无限裂变

复制一下链接，本地访问一下，加了一次，在刷新就没加了

猜测是前端获取到访问的IP进行累加的，直接伪造一下IP

使用burpfakeIP伪造，它可以将能计入IP的前端标头参数聚合，并可以随机生成IP或爆破

下载：https://github.com/TheKingOfDuck/burpFakeIP

这样看，确实计入了，直接开启爆破模式，批量刷，这里我没用插件的爆破模式，而是直接下载的微步大佬之前分享的危险IOC

基本上到了180多就直接不动了，所以这就是传说在的把你卖了还给人家数钱呢

至于为啥还反被轰炸了呢，我在刷完余额以后去提现，手残的把自己手机号信息输上去了，然后肯定录入到数据库里面了，等我停止操作后十分钟，就开始大批量接到国外的电话，当然我开启防骚扰了

所以天上没有掉馅饼的事啊，网站可能存在SQL注入，而且WAF可以会被绕过，但是我没做，有相关意愿的师傅想搞的，可以私聊我拿站，通过公众号加我好友，文章不能发网址哦！

0x03 总结

知识拓展

在做扫描的时候，一般都习惯挂代理，而不使用XFF等标头的原因是什么呢通俗的来讲：  代理服务器是在OSI七层模型的第三层网络层，根据代理商对代理IP的配置  用户可以根据协议去控制代理服务器IP，sockets或者http协议也好  去对服务器进行对应的一个访问，服务端接收到的日志请求则是代理服务器IP  而XFF等标头正常来讲是WEB服务中的一个标头，服务器可以通过此标志  来获取到源IP，如:X-Forwarded-For: client 1,client 2,client 3...  之前在CTF中经常会用到此类标头，是需要绕过欺骗前端  目前大部分的服务器或中间件是不信任XFF了，或者配置了追溯源IP配置  即使绕过了前端，在服务器日志看到的基本上还是代理IP/源IP  因为XFF是工作在第七层应用层中

OK，接下来是抽奖环节，点击下方小程序进行抽奖即可

原文始发于微信公众号（州弟学安全）：学习干货|对不法网站测试伪造IP反被境外份子轰炸(文末抽奖)