获网安教程
免费&进群
本文由掌控安全学院 - 一呼投稿
很难想象主站居然还有这漏洞
某天的一个晚上,默默的打开了电脑,娴熟的打开了Burp suite,
看到一个很熟悉的注册登录页面,开始测试。
很难想象,还有验证码时效性,于是怼了半刻钟,终于让我逮到了他的数据包。
跳转到注册页面
1、输入手机号,点击获取验证码进行抓包
这时会发现有一个验证机制,,抓住验证的数据包,一个一个的放数据包
一直放到下面这个包这里,然后放到Repeter模块
看关键字mobile字样。
2、将请求包发送到Repeater模块进行多次重发数据包
3、手机收到大量的短信,造成了短信轰炸。
这边后面又通过遍历手机号轮番轰炸,未果,最后提交src,审核漏洞重复。
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+交流群+靶场账号哦
分享后扫码加我!
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
原文始发于微信公众号(掌控安全EDU):某想主站的短信轰炸漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论