墨者学院-入门级-投票常见漏洞分析溯源-小白必看（超详细）

2020年8月6日 ，第三次网络安全试验。
通过拦截响应包，对服务器网站进行攻击。

准备需要：
1.window电脑
2.burpsuite（bp）抓包软件

1.进入靶场，任务是需要我们投票，把a2019的票数成为第一，就是所谓的刷票，完成后，就会获得key。

2.然后开启代理，进入bp打开响应包拦截，当我们点击投票按钮，bp就会拦截到一个响应包。

把响应包的内容复制粘贴到，并修改User-Agent的头数据，然后在末尾加上加上一个扩展头，然后分别选中0和1，按右边的“Add §”按钮。
代码：
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.98 MicroMessenger/6.0NetType/2G

X-Forwarded-For:10.1.0.1

3.响应文件准备好后就可以进行攻击步骤。
进入bp，切换到Payloads板块，修改相应的数值和类型。
Paload type →类型
From→起启值
To→末尾值
Step→相隔数值

最后切换到Target板块，输入靶场的ip地址和端口号，然后点击start attack按钮。

4.回到浏览器，刷新页面就可以看见你已获得key。复制 粘贴 提交 就ok了。
（如果刷新不出来的，可以重新进入靶场试一下）

百度X-Forwarded-For的解释和作用

此实验通过bp伪造ip地址，攻击投票网站，达到刷票的目的。