【实操：小程序+App+Web】使用Burpsuite识别短信轰炸漏洞

本文先讲解被短信轰炸后应该如何进行处理，同时使用Burpsuite最新版对web+app+小程序常见入口进行抓包检测是否存在短信轰炸漏洞。

被短信轰炸怎么办

首先是：先举报，后拦截。

打开：

https://ythzxfw.miit.gov.cn/index

找到【电信网码号资源使用和调整审批系统】：

输入106开头号码前八位，就可以查到号码归属公司：

知道短信公司，现在可以打12321电话号码进行投诉。

同时也可以直接关注公众号12321：

选择短信电话轰炸

被骚扰后使用短信拦截关键字：

短信-骚扰拦截-拦截规则设置-信息拦截规则-自定义拦截关键词

设置-声音与振动-静音时振动-关闭

什么是短信轰炸

这些骚扰短信来源于不同的网站，常见地方使用注册验证码，找回密码处，对请求没有做校验，批量请求此类获取验证码，使得不同网站在几分钟内发送上百条短信给用户，造成短信轰炸。

企业使用短信接口是按照条数进行付费调用的，若未限制单位时间内短信数量会给企业带来额外费用，同时频繁发送短信也会对用户造成干扰，对企业形象带来负面影响。

短信验证码常见漏洞形成原因如下：

1.对手机号进行加密处理，对验证码获取没有限制

2.验证码获取没有显示时间，常见一分钟获取一次。

3.对请求页面没有嵌入SDK，获取设备号限制。

4.平台无验证码且未限制单个IP单位时间内访问次数，存在爆破风险（此处应注意，同一企业IP出口一样次数过小容易误伤）

如何证明接口存在短信轰炸漏洞

针对漏洞测试从3方面进行：

1.小程序抓包进行短信轰炸

2.从app抓包进行短信轰炸

3.web抓包进行短信轰炸

1》小程序抓包进行短信轰炸

配置proxifier

Profile-Proxy Servers-配置好IP

Profile-Proxification Rules

配置burpsuite

在微信中点击团油小程序进行抓包，burpsuite进行拦截

点击手机号登录/注册后使用burpsuite抓包

右键-send to turbo intruder

在请求头处任一位置添加%s，下方代码处设置20次，点击攻击，使用该种并发可成功接收20条短信。当然你可以将20设置为更高，如此便能1s内发送更多短信

在手机中拦截到20条来自团油的短信验证码

点开拦截短信确认

2》app抓包进行短信轰炸

在电脑抓app包需要安卓环境，我这边使用mumu模拟器

1.设置wifi

系统应用-设置-WLAN-wifi处长按鼠标左键-修改网络-设置代理（注意此处应与burpsuite设置的代理IP、port保持一致

2.电脑端下载团油安卓apk包后，使用adb进行安装到mumu模拟器，也可以双击apk自动安装

adb nodaemon server

adb connect 127.0.0.1:7555

adb devices

adb install -r xxxx.apk

此时设置burpsuite监听ip:port与wifi监听保持一致，方可成功抓包

点击app-登录-手机号-发送验证码后抓包

burpsuite右键右键-send to turbo intruder，在请求头处任一位置添加%s，下方代码处设置80次，点击攻击，使用该种并发可成功接收80条短信。当然你可以将80设置为更高，如此便能1s内发送更多短信

成功接收到80条拦截短信

3》web抓包进行短信轰炸

使用chrome插件switchyomega进行配置代理

使用burpsuite配置代理，注意需与浏览器保持一致

点击web网站，登录页面进行抓包

burpsuite右键右键-send to turbo intruder，在请求头处任一位置添加%s，下方代码处设置200次，点击攻击

使用该种并发可成功接收100条短信，应是有短信次数限制

如果你喜欢巫巫的原创文章，推荐加入巫巫的社群(72小时内可申请退款)。

▎  我建立这个星球来沉淀有价值的内容，更好地帮助小伙伴提升自己。 

▎  很多小伙伴都添加我的微信，向我提问越来越多，随便回答不太好，如果不回答也不好，如果都仔细回答，是真的回答不过来！

▎   后来发现可以建立知识星球，我会花费时间在这个星球上用以解决这一问题。

▎  星球里将提供：

1.高纬度的网络安全思维模式

2.SRC漏洞挖掘、CTF靶机攻克、企业安全建设、网络边界安全、GAN网络、web3.0安全、企业安全运营、打击涉网犯罪等行业全知识面覆盖

3.高质量的问题交流、导师级顾问服务

---

合抱之木，生于毫末。

九层之台，起于累土。

每一次努力和积累，都是在为网络安全领域的发展贡献自己的一份力量。

感谢您一直以来的支持和关注！

一篇完整的甲方内部防钓鱼演练方案【可直接抄作业】

阿里云WAF3.0命令执行Bypass，也是WAF的通病

漏洞治理难度大?建立完善的漏洞管理流程是关键！

从Prompt注入到命令执行：探究LLM大型语言模型中 OpenAI的风险点

如何在TG群中获取用户真实IP？这些手段教你轻松实现【附代码】

漏洞治理难度大?建立完善的漏洞管理流程是关键！

【盗币科普】你可千万不能这样盗别人的虚拟货币钱包

关于打击跨境网络赌博犯罪，我们如何侦查？我的建议和想法

【完结篇】微信泄露手机号事件的回顾与总结

批量截获机场节点：科学上网工具安全分析

防范虚拟货币钱包盗窃：揭秘非Approve的新型盗U诈骗手段（终极版）

【欺负老实人】在chatgpt Prompt中注入攻击代码，截取跟踪用户信息，钓鱼XSS。

一次完整的GPT-4代码审计，挖掘CMSeasy漏洞

我使用ChatGPT审计代码发现了200多个安全漏洞(GPT-4与GPT-3对比报告)

从零开始，手把手教您如何开通ChatGPT Plus开启GPT-4之旅（depay,nobepay,某宝）

Burpsuite最新版+四款Burpsuite插件，帮你扫描JS文件中的URL链接！

原文始发于微信公众号（安全女巫）：【实操：小程序+App+Web】使用Burpsuite识别短信轰炸漏洞