burpsuite修改response欺骗伪造高五商

一、事情起因

今天我的相亲群里又开始流行测五商了，分别是智商、情商、逆商、财商和性商。作为一个大龄资深老光棍肯定得表现出高五商，才能赢得女神关注。

二、结果惨绝人寰

我凭借着我的“高智商”认认真真的答完10道，BUT结果是这样子的

这给女神知道还了得

三、抓包分析请求

因为是在微信上的程序，所以要本地burpsuite设置所有网卡的代理，然后把burpsuite的证书导入手机，手机要跟电脑在同一个网段上，然后开启代理设置为burpsuite的ip和端口。

这个网上有详细的教程，我就不过多赘述了。

接下来抓请求分析

先是在api把答案经过post请求

http://qz.williammorales.top/api/quiz/take

然后分析一下post data

主要是把每一题的答案带进去。cookie的参数有些也搞不懂

在看看response的返回值

直接返回结果

然后下一个请求从得到的值进行渲染出图

下面的GET请求就是把post里的响应做渲染，部分代码JS如下

四、伪造响应欺骗

所以我只要伪造了响应把值改为满分就行了。

burpsuite就有修改响应的功能，我直接使用。首先把intercept 设置为on

拦截到请求后

设置response to this request,然后修改响应值：

不管三七二十全部修改为满分。我就是这么棒

然后Forward完成整个请求。这时候查看手机结果：

满分满分。

五、结果

我把结果上传到群里，然后女神并没有鸟我。哎。。我也不知道为什么我能单身这么久，看来得换一个女神了，是换苍女神还是波多女神呢？