0X00 前言
快開(kāi)學(xué)了,看到空間里面各種求填寫(xiě)調(diào)查問(wèn)卷的,我才想起來(lái)貌似我也還沒(méi)做。對(duì)于這種無(wú)意義的問(wèn)卷,我是不怎么感冒的,所以我打算使用”特技”來(lái)完成,也就是python,順便重新復(fù)習(xí)一下python,真的好久沒(méi)用了。下面,表演開(kāi)始……
0X01代碼編寫(xiě)思路
首先先創(chuàng)建一份問(wèn)卷
我們隨便填寫(xiě)一個(gè)問(wèn)卷并提交,在提交之前開(kāi)啟Burpsuite截獲數(shù)據(jù)包
對(duì)于截獲的數(shù)據(jù)包進(jìn)行分析,有的被url編碼了不利于分析,可以使用Burpsuite編碼模塊解碼替換,這樣就好分析了
通過(guò)觀察可以發(fā)現(xiàn),post了一串奇怪的數(shù)據(jù)submitdata=1$2}2$3}3$3}4$4}5$3}6$2}7$4}8$2}9$3}10$3。仔細(xì)分析可看出數(shù)據(jù)大概是這個(gè)意思submitdata=題號(hào)$選項(xiàng)號(hào)}題號(hào)$選項(xiàng)號(hào)}題號(hào)$選項(xiàng)號(hào)}……..
利用這些信息就可以開(kāi)始編寫(xiě)python程序了
運(yùn)行結(jié)果如下
貌似網(wǎng)站還有其他反爬蟲(chóng)機(jī)制,在連續(xù)提交幾個(gè)表單之后,就出現(xiàn)了驗(yàn)證碼。難道此時(shí)我們還要給程序添加上識(shí)別驗(yàn)證碼的功能?其實(shí)不必,我們可以先分析一下剛剛Burpsuite截獲的header信息,來(lái)看看到底網(wǎng)站是通過(guò)什么方式,識(shí)別出我們是用爬蟲(chóng)來(lái)提交問(wèn)卷的。
通過(guò)一番測(cè)試,我發(fā)現(xiàn)當(dāng)我連續(xù)提交3份問(wèn)卷,再換一個(gè)IP提交3個(gè)問(wèn)卷,也就是連續(xù)提交了6份問(wèn)卷,并沒(méi)有觸發(fā)網(wǎng)站的反爬蟲(chóng)機(jī)制。所以我們可以猜測(cè)對(duì)方基于IP提交問(wèn)卷的頻率來(lái)識(shí)別爬蟲(chóng)程序的。看到這里,大家可能會(huì)想,我們可以通過(guò)網(wǎng)上的免費(fèi)代理來(lái)提交問(wèn)卷。例如這些
那是不是意味著我們還要往python代碼中添加提取免費(fèi)代理IP的功能呢?NO NO NO!換個(gè)思路,在CTF比賽中會(huì)遇到一種題目,例如你的IP是來(lái)自德國(guó)的才可以拿到flag。所以,我們的思路就是進(jìn)行數(shù)據(jù)包頭欺騙,偽造我們的IP,騙過(guò)服務(wù)器。下面來(lái)說(shuō)說(shuō)偽造IP的幾種方式。
X-Client-IP:1.1.1.1
X-Remote-IP:2.2.2.2
X-Remote-Addr:3.3.3.3
X-Originating-IP:4.4.4.4
X-Forwarded-For:5.5.5.5
我們每個(gè)都嘗試一下,然后在后臺(tái)統(tǒng)計(jì)那里可以看到我們的問(wèn)卷來(lái)源
這里我們發(fā)現(xiàn)用X-Forwarded-For可以繞過(guò),按我們就用這種方法在header信息中添加X(jué)-Forwarded-For字段,所以修改后的腳本如下
運(yùn)行結(jié)果如下
再到后臺(tái)看看統(tǒng)計(jì)信息
至此,我們算是完美的解決任務(wù)了。如果大家想去掉調(diào)查問(wèn)卷中國(guó)外的IP地址,可以收集一下中國(guó)的IP地址段,然后添加進(jìn)程序,處理一下即可。
0X02總結(jié)
大家平常可以把學(xué)到的東西用到實(shí)際生活中,遇到困難的時(shí)候不要慌,多思考,找到最優(yōu)的解決方法。例如上面,我并沒(méi)有在代碼中添加驗(yàn)證碼識(shí)別模塊,也沒(méi)有通過(guò)走代理的方式來(lái)繞過(guò)網(wǎng)站的反爬蟲(chóng)機(jī)制,而是通過(guò)分析網(wǎng)站的反爬蟲(chóng)機(jī)制,并且使用所學(xué)的安全知識(shí)(HTTP頭欺騙)輕松解決問(wèn)題,使用最短的代碼完美完成任務(wù)。
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
