不讲武德的隐藏验证码

admin 2021年4月23日05:26:59评论79 views字数 1050阅读3分30秒阅读模式

年底将近,团队公众号文章许久没有更新了。

(理解一下,团队的老哥全部都还在HVV熬夜通宵抓头发,实在没时间写)


本次我们以一个实战为例来探索”隐藏验证码”

 

首先”隐藏验证码”就是不显示在页面,抓包可以抓到,具有和验证码一样功效的东西。它可能有一个专业的叫法,因为我不能体现我不专业所以请别纠正我。这篇文章也是我挖掘漏洞时遇到的问题,然后通过分析问题,最后解决问题的一个小经验之谈,希望能给大家带来一点思路。


不讲武德的隐藏验证码


本次实战目标时一个XX的统一身份认证平台

因为怕进去所以敏感信息都进行了打码

无码的东西看多了身体也吃不消


不讲武德的隐藏验证码


我们先来抓个包,重放尝试一下验证码能不能绕过


不讲武德的隐藏验证码


存在"用户名或密码输入错误"的回显,连续访问多次发现相同,猜测对验证码并未刷新


不讲武德的隐藏验证码


那接下来不就是轻轻松松,简简单单Easy and easy


不讲武德的隐藏验证码


放入爆破模块,就用这个狙击手模块一发入魂。

一些基础的设置就不演示了


不讲武德的隐藏验证码


结果。。。。我的枪里居然没有子弹


不讲武德的隐藏验证码

不讲武德的隐藏验证码

有点打脸

一定是装X过了头,被B盾给检测到了

 

放开包来看一看程序员写了些什么欠打的东西。

错误信息中一个参数”e1s1”引起了我的注意。

他引起我注意的原因就是他用了引号。


不讲武德的隐藏验证码

我们重新抓一个包,其中有一个参数lt=e1s1,并且重新抓包已经变成了”e2s1”

所以推断这是一个”隐藏验证码”并且他的参数是一个递增的状态


不讲武德的隐藏验证码


这究竟是程序员的沦丧还是源码的扭曲


不讲武德的隐藏验证码


自信满满的又是一波爆破,因为要对参数也进行递增的一个爆破,所以这回用到Pitchfork这个模块

下面是burp爆破的一些设置


不讲武德的隐藏验证码

不讲武德的隐藏验证码

经过尝试之后发现确实不500错误了,但是也没有回显"用户名或密码输入错误"

说明爆破还是失败了

看来以后不能坐火车和飞机了

怕安检过不去,说我是”铁废物”

不讲武德的隐藏验证码

突然想到如果文章结束在这个位置其实蛮有意思的
















不闹了,经过一系列的探索,发现在返回包中存在下一次的码

                     

不讲武德的隐藏验证码

     

由于数额过大,删除cookie之后重新抓一次包,推断e后面的为图形验证码刷新次数,s后面为对应的次数并且为一个递增值


不讲武德的隐藏验证码


进入爆破界面,由于重放攻击过一次,所以下一次是e1s2所以爆破中修改为e1s2


不讲武德的隐藏验证码

不讲武德的隐藏验证码

结果。。。还是失败

不讲武德的隐藏验证码

不讲武德的隐藏验证码

一切感觉都没问题,那么问题出在那呢,B盾的原因?

 

最后发现,原来是Burp不讲武德。

不讲武德的隐藏验证码


重复之前操作,变成单线程爆破,终于成功了。


不讲武德的隐藏验证码

至于原因应该是因为多线程数字递增乱了

这次实战主要是探索”隐藏验证码”,所以并未进行一个正经爆破账号密码的操作。

这么解释应该显得没那么废物吧。

 

总而言之,这次实战总结就是,不愧是我。


不讲武德的隐藏验证码





本文始发于微信公众号(零度安全攻防实验室):不讲武德的隐藏验证码

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月23日05:26:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   不讲武德的隐藏验证码https://cn-sec.com/archives/204237.html

发表评论

匿名网友 填写信息