声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
兄弟们,系我,暗月最深情的徒弟,跟着月师傅苦学两年半的挖洞练习生。之前说要开教育园专场的,在挖其他的src就给耽误了,不好意思俺一定继续勤奋更新
。
0x00 前言
这次就水一下了,给你们看看我刚开始挖上海交大的证书,有点水哈,但是足够总结一下怎么挖验证码的逻辑
00X1:首先我用我的手机号注册了一个账号,然后点击忘记密码
00X2:点击手机号码,输入验证码,获取验证码(我自己手机的),然后就可以跳转到重置密码
00X3:然后就跳转到重置密码,发现这里没有要输入原始密码,就隐隐感觉这里有洞
00X4:点击刷新这个页面,进行抓包(肯定有同学问我为什么刷新一下,要是为了搞清楚它是怎么去重置密码的)
下面这个数据包是先去验证验证码是否正确的
00X5:发现刚刚验证码是四位数就可以爆破,只要将手机号改成别人的然后进行爆破四位数验证码,就可以越权重置别人的密码
但首先用另一个页面打开https://XXX.sjtu.edu.cn/dispatcher?classid=enrollCls&siteid=48&orgid=EE&lang=ZHS&sen=4 这个页面,就是手机号发送验证码的页面(为的是服务器发送验证码给手机号,后面进行爆破)
输入收集到的电话号码:1737510XXXX 点获取验证码
00X6:然后在刚刚抓的请求包里面,将电话号码换成搜集到的电话号码17375103656 ,对验证码四位进行爆破(因为这个验证码是可以一直用的,不会刷新)
然后慢慢等待10分钟以内就可以爆破出来了(这段时间喝喝茶,刷刷视频就过去了 嘻嘻嘻
00X7;爆破后可以得到验证码7227,而且这个是无时效性的,这个验证码可以一直的用,可以不断的重放
00X8:还是刚刚修改密码的页面,刷新并且抓包
00X9:将自己的手机号181XXXXXXX换成别人的1737XXXXXXX ,验证码改成爆破出来的7227(记得把cookie删除)
并且放掉包,就可以修改别人的密码了(可以自己修改一下密码登陆是否成功,或者放在重放的模块里面用爆破的正确的验证码和错误验证码,可以发现回显不一样,说明是能爆破验证码成功,验证码也是无时效性,从而修改别人的密码
00X10:我已经将手机号173XXXXXXXX的密码重置为123456789a,然后我们登陆试试
00X11;发现用别人的手机号登陆成功,而且发现这个账户有点像管理员账户,结果说明:是可以越权修改别人的密码的,因为验证码是四位,而且不刷新(成功拿下证书站)
0x12 深情的总结
首先要搞清楚正常流程是怎么样的,然后知道每个数据包是干嘛的,这时候你就可以发散思维去想怎么绕过造成漏洞。比如这里哪个数据包是去验证验证码是否正确的而且还是四位,说明这里有利用的点。
对于验证码的漏洞,我总结的一下
1.四位验证码2.并发导致短信轰炸3.181XXXXX;1819999XXX 导致任意同时发送两个手机号验证码4.万能验证码 111111 123456 8888885.只对中国的手机号码做了验证码轰炸限制,没有对香港和国外限制6.参数滞空就可以绕过
夜已经深,又到了伤感的时候
让大家看看我收集的藏头诗,希望你们能用上。可进可退
我看明月月看你喜你天经经四诗欢马毕步步马脑你必死条条碧婵
本人爱好喜欢听人吹nb,欢迎前来交流。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论