|
|
前言
正文
登入处抓包,发现这里存在一个账号枚举,发现通过爆破不同的username,即通过遍历手机号码得知该手机号码是否在该业务上注册过。
-
未注册时
-
注册过时
这个业务点还可以通过手机号码接收验证码登入,因为存在60s才能发送一次的限制所以没有短信轰炸。
但是可以通过抓这个发送验证码的包,可以造成一个横向的短信轰炸。
这里的测试是否可以通过xff头等绕过短信发送频率限制的插件是coolcat师傅写的burpFakeIP
https://github.com/TheKingOfDuck/burpFakeIP这里收到的验证码为4位数,然后每个验证码可以使用3次,还是存在一定爆破的可能性,相当于可以任意登入账户,或者先枚举一些用户,然后再批量随机爆破验证码。
一个burp intruder跑发送验证码的,比如一个跑1371234XXXX;
另一个burp intruder跑验证验证码的,然后这个跑验证码为任意一个四位数的验证码,跟着上面跑
理论上发一次包,跑出来的概率是万分之一
而且验证码可以重复使用
登入进去查看信息,看burp里面的包”registerTime”:”2020-06-30应该就是刚刚爆破的时候创建的账号,默认在没有创建过账号的情况下,爆破成功验证码就会自动创建账号。
总结
以前倒是遇到过不少四位数验证码爆破的,但是这种可以结合短信遍历,一个短信验证码只能验证三次的,最后能成功利用的还是第一次遇到,关键还是这里不存在图片验证码或者行为验证码可操作性强了很多。
文章来源:博客园(lego's blog)原文地址:https://legoc.github.io/2020/07/07/一个有趣的任意密码重置/
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推 荐 阅 读
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论