点击蓝字
关注我们
前言
|
来自网络,安全性自测。 |
欢迎加入零信任攻防实验室的知识星球,星球免费!后续会抽奖送360定制周边礼品哈,敬请期待!平台有批量验证的脚本、工具以及一些漏洞的POC,和分享网络安全资源(漏洞挖掘文章 工具 资讯) 以及SRC漏洞挖掘的技巧分享等等,资源多多,干货多多!
漏洞挖掘
在子域名收集的过程中,得到了一个类似于登录系统的网站,随后打开页面测功能点
弱口令一条龙后发现无果,随后关注到该网站有个忘记密码的功能,来到忘记密码这里看一下
看到这个界面,我第一个想到的就是,有没有可能存在短信轰炸漏洞。接下来用burp抓包看一下数据包
当我发送第二次包的时候,它显示发送失败,半分钟内只能发送一条短信,猜测这里做了限制
然后尝试在mobile参数处输入一些特殊符号进行绕过短信限制,在mobile处输入逗号,发现可以绕过这个短信的限制
一直添加逗号,就可以实现短信轰炸
最后提交到了专属src平台
总结:
有些发送手机号的接口或者邮箱接口当发送时抓包,如果在接受手机参数处没有过滤好一些特殊符号,会导致短信轰炸。师傅们在挖掘这种类型的漏洞的时候,可以在参数处加一点特殊符号看看能不能进行绕过短信限制。
| 知识星球的介绍
不好意思,兄弟们,这里给湘安无事星球打个广告,不喜欢的可以直接滑走哦。
1.群主为什么要建知识星球?
很简单为了恰饭哈哈哈,然后也是为了建立一个圈子进行交流学习和共享资源嘛相应的也收取费用嘛,毕竟维持星球也需要精力
2.知识星球有哪些资源?
群里面联系群主是可以要一些免费的学习资料的,因为群里面大部分是大学生嘛大学生不就是喜欢白嫖,所以大家会共享一些资料没有的群主wk也有,wk除了不会pc,其他都能嫖hhh
一些实战报告,截的部分
一些1day的poc,这些也就是信息差,不想找可以让wk帮你们嫖,群主也会经常发
一些共享的资源
1.刀客源码的会员2.fofa 360高级会员3.专属漏洞库5.专属内部it免费课程6.不定期直播分享(星球有录屏)
技术交流可加下方wx
原文始发于微信公众号(湘安无事):SRC漏洞挖掘技巧分享-验证码漏洞挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论