相信大家在挖掘SRC过程当中经常遇到短信发送的接口,这里我们可以测试短信爆破漏洞,常规的短信轰炸绕过这里不再赘述,这里我遇到一个奇怪的短信轰炸给大家说一下,当我将短信发送的数据包放到重发器当中重发第二次的时候提示我验证码有误,当时我就想网上很多思路都是对手机号做文章,这种验证码能不能尝试绕过呢,随后我就在验证码后面添加了%号再次发送居然发送成功了,然后再发送失败,继续再原有验证码上继续添加%再发送成功,依次添加%就可以一直发送验证码。至于我这为什么使用%号,在数据库中,%符号代表着通配符。它可以替代任何字符,不过我又尝试其他短信接口都没成功,可能这个接口特殊一些吧。
原文始发于微信公众号(思极安全实验室):SRC-奇怪的短信轰炸
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论