分享短信轰炸漏洞小窍门

admin
admin
admin
139442
文章
114
评论
2025年4月25日00:18:54评论0 views字数 2096阅读6分59秒阅读模式
最近在对一批系统搞渗透测试,发现很大一部分系统都存在短信接口,若服务器未做有效校验,则可造成短时间内向目标手机发送大量垃圾短信的情况。
分享短信轰炸漏洞小窍门

就像这个样子,会消耗客户的短信资源,而且万一被黑客利用的话,会被拿去做其他违法的事情,比如调用这个接口做定向的短信轰炸。

那么,我们针对一个短信接口进行测试的时候,有什么小窍门呢?

首先我们应该知道,一般短信轰炸都会存在于网站的注册页面,认证页面。如果上述页面存在验证码获取功能,那么我们可以针对性地进行测试。

一、手工测试

我们可以使用抓包工具(如Burp Suite)拦截发送验证码的数据包,并进行多次重放攻击,观察是否能在短时间内连续收到多条短信。这也是大多数都在用的测试方法。

分享短信轰炸漏洞小窍门

二、自动化工具

如果手工验证不存在或者被拦截的话,可以利用专门的插件或脚本如SMS_Bomb_Fuzzerhttps://github.com/yuziiiiiiiiii/SMS_Bomb_Fuzzer)对短信接口进行自动化Fuzz测试,尝试绕过各种限制。

三、尝试绕过

除了上述的两个方法外,我们还可以使用人工绕过的方法去进行测试。

(1)参数污染:后台发送短信时会提取数字部分,当混入其他字符之后可能绕过对已发送手机号码的限制校验。例如,可以在手机号码中加入特殊符号或者字母。

(2)编码绕过:通过URL编码或者其他编码方式改变手机号的表现形式,从而绕过后台对手机号的校验。例如,将手机号的一部分数字进行URL编码。

例:

GET /send_code?phone=%31%3769999999 HTTP/1.1Host: example.com

(3)并发请求:在短时间内发起大量的并发请求,试图突破服务器的频率限制

(4)Cookie/Session操作:修改或者替换请求中的Cookie或者Session信息,使得服务器认为每次请求来自不同的用户。

(5)IP伪装:使用代理池或者Tor网络等方式隐藏真实IP地址,避免因单个IP频繁请求而被封禁。

(6)User-Agent变换:改变HTTP请求头中的User-Agent字段,模拟不同的浏览器或设备访问。

这里给大家准备了一些不同的User-Agent字段

Chrome浏览器(Windows 10

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36

Firefox浏览器(Windows 10

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0

Safari浏览器(MacOS Big Sur

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.1.2 Safari/605.1.15

Edge浏览器(Windows 10

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36 Edg/92.0.902.67

Opera浏览器(Windows 10

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36 OPR/78.0.4093.184

Internet Explorer 11Windows 10

Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko

当然,我们可以将上述多种方法结合使用,这样有助于我们提高绕过的成功率。

除了常见的注册、登录和找回密码功能外,还应关注其他可能涉及短信发送的功能点,如订单确认、活动参与等。

小结:短信轰炸漏洞是一个较为常见的web漏洞,我们发现之后应该及时反馈开发,让其进行修复,以下是修复方法。

1.合理配置后台短信服务器的功能,首先验证手机号格式是否正确,其次对于同一手机号码,每次发送短信的间隔应至少为60秒,且十分钟内最多发送三次短信;

2.短信发送页面应加入图形验证码等验证方式。

无问社区:https://www.wwlib.cn/

无问AI大模型:http://chat.wwlib.cn/

无问社区交流群:

分享短信轰炸漏洞小窍门

无问社区主机运维助手冰儿重磅发布:她将协助您完成一系列复杂的主机操作任务,甚至在一些场景下可以做到完全自主的操作主机,包括系统安全加固等操作,都可以完成。

内测报名通道:https://wj.qq.com/s2/20269570/d493/

申请后请添加下方二维码进内测群

分享短信轰炸漏洞小窍门

原文始发于微信公众号(LA安全实验室):分享短信轰炸漏洞小窍门

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月25日00:18:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   分享短信轰炸漏洞小窍门https://cn-sec.com/archives/3960239.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息