记一次项目中把验证码漏洞从低危变成严重漏洞的方式!
免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
详细介绍
分享一下前段时间对一个项目做渗透测试的一个小思路,希望可以对各位产生一些帮助
首先入眼就是一个登录点
相信各位也有思路了,无非是:短信轰炸、任意用户登录、万能密码、弱口令、sql注入等
作者也是第一步就测试短信轰炸
这里直接输入我自己的手机号,然后使用yakit抓包,拦截短信验证码发送的数据包
直接把数据包放到重放模块,进行了一次发包
可以看到数据包回显是正常的,且手机也是正常的接受到了短信验证码了
在连续发送了三次数据包后提示
在测试短信轰炸的时候,大部分都是并发一下发现有次数限制就直接跳过了
接下来就讲讲遇到验证码发送次数限制的时候怎么绕过
可以通过+86、@、空格、+、逗号等方式进行绕过,从而达到短信轰炸的效果:
这里通过字典在手机号全面遍历+86、@、@@、@@@、空格、+、逗号成功绕过限制实现了短信轰炸
短信成功发送到手机:
对于验证码功能大部分师傅测试到这里可能就结束了
其实验证码还存在比短信轰炸更大的危害
双验证码漏洞,可导致获取任意用户的验证码进行登录
双验证码的测试方法有一下几种:
mobile=18888888888,mobile=19999999999
mobile=18888888888&mobile=19999999999
mobile=18888888888,19999999999
mobile=18888888888&19999999999
测试中也是成功通过,号实现了双验证码漏洞的挖掘
下面使用了我的主号和副号进行测试
最后两个手机号成功接收到了相同的验证码
这意味着我们只需要把逗号后面的手机号替换为其他用户的手机号即可获取验证码进行登录
那么这个时候重点来了,我们思维发散一下
来个宇宙大爆炸!
想想我们是否可以继续在主号和副号后面添加更多的手机号:手机号,手机号,手机号,手机号,手机号………….
是不是就可以获取整个网站所有用户的验证码,可以一次性拿下整个站点的所有账号权限,在配合后台的密码修改功能修改所有用户的密码造成全站用户账号被盗。
实现低危到严重的越变
推荐一下作者最新研发的yakit被动漏洞检测插件,可挖掘企业src漏洞。
以上漏洞都是不需要任何技巧的,作者只是开启插件在目标网站用鼠标“点点点点”就挖掘出这么多漏洞,完全“零基础”“零成本”挖洞目前一共开发了四个插件:
被动sql注入检测
被动xss扫描优化版
被动目录扫描好人版
被动ssrf及log4j检测
文章转自小黑子安全
如有侵权请联系我删除
题外话
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习路线&学习资源
下面给大家分享一份2025最新版的网络安全学习路线资料,帮助新人小白更系统、更快速的学习黑客技术!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
需要高清完整学习路线图,和全套网络安全技术教程的小伙伴!
↓↓↓ 扫描下方图片即可前往获取↓↓↓
如果二维码失效,可以点击下方👇链接去拿,一样的哦
【CSDN大礼包】最新网络安全/网安技术资料包~282G!无偿分享!!!
1.从0到进阶主流攻防技术视频教程(包含红蓝对抗、CTF、HW等技术点)
2.入门必看攻防技术书籍pdf(书面上的技术书籍确实太多了,这些是我精选出来的,还有很多不在图里)
3.安装包/源码
主要攻防会涉及到的工具安装包和项目源码(防止你看到这连基础的工具都还没有)
4.面试试题/经验
网络安全岗位面试经验总结(谁学技术不是为了赚$呢,找个好的岗位很重要)
😝需要的话,可以V扫描下方二维码联系领取~
如果二维码失效,可以点击下方👇链接去拿,一样的哦
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
