本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:asj-jacky
加入安世加 交流群 和大佬们一起交流安全技术
文章来自" bgbing星球",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)
本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!
开始
首先在登录处输入手机号,发送验证码
看前端提示是只能用+86手机号登录,境外手机号不能
抓包看看发送验证码是哪个包,这里是我抓包修改过的
原先包的region应该是CN,mobile是+86手机号,可见我们修改为香港的+852也能发送验证码成功,返回包的
code为200,status为ok即为发送成功。但是连续按多次repeater,返回包会显示发送频繁
绕过
1、尝试删除cookie试试,发现发一两个包还是会显示频繁
2、在手机号后持续加逗号试试
上面1加2成功绕过发送限制!
下面是intruder情况
因为图太多就截一个,连续近20个包是发送成功的
接着看下我在易博通的虚拟香港手机号的情况
到这里就可以提交漏洞了,首先可以发境外手机号,境外的短信一条都要0.5了,加上成功绕过发送限制。最后拿下低危一枚(漏洞目前已修复)
原文始发于微信公众号(安世加):技术干货 | SRC挖掘思路(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论