黑客技术：一次验证码爆破的突发奇想

这次挖漏洞时并没有什么有难度的操作，只是当时的一个突然的想法，在网上搜了之后发现关于这种想法的文章很少（几乎没有），所以打算发出来分享一下。

涉及漏洞，验证码通用、验证码爆破

思路：

在有些网站中，登录处的验证码都做了防护无法爆破，而其他的一些地方验证码可以爆破，却没什么大用；但是有的时候两个页面的验证码是通用的，这时如果在一个网页里爆破出了验证码，另一个页面也可以使用。他的危害就大了，可以进行修改密码，转账，换绑手机号等操作

某网站的作者页面，注册一个作者账号后

先点击作者信息，然后进行手机号修改

输入目标手机号，点击获取验证码，然后验证码先随意填写，点击最下方的提交修改，抓包

1599298360.png!small

发送到爆破模块，设定参数

1599298363.png!small

加载4位数字字典，这里测试一千条

1599298368.png!small

成功，密码为7308

打开修改密码的页面。

不点击获取验证码，直接用7308，将密码修改为123456789

1599298382.png!small

1599298786.png!small

这时再进入登录页面，就可以发现登录成功。

由于验证码在三十分钟内有效，且两个页面可以共用一个验证码，这时有一个页面出现验证码爆破，另一个页面会直接沦陷。因为对代码不是很熟悉，所以不知道在实现上验证码通用和不通用有什么区别，有知道的大佬还请指点一下。

点击这里复制本文地址以上内容由黑资讯整理呈现，请务必在转载分享时注明本文地址！如对内容有疑问，请联系我们，谢谢！

柔侣风晓2022-05-30 14:58:27
获取验证码，然后验证码先随意填写，点击最下方的提交修改，抓包发送到爆破模块，设定参数加载4位数字字典，这里测试一千条成功，密码为7308打开修改密码的页面。不点击获取验证码，直接用7308，将密码修改为123456789这时再进入登录页面，就可以发现登录成功。

慵吋掩灼2022-05-30 14:16:44
两个页面可以共用一个验证码，这时有一个页面出现验证码爆破，另一个页面会直接沦陷。因为对代码不是很熟悉，所以不知道在实现上验证码通用和不通用有什么区别，有知道的大佬还请指点一下。

性许鸢旧2022-05-30 18:27:49
里测试一千条成功，密码为7308打开修改密码的页面。不点击获取验证码，直接用7308，将密码修改为123456789这时再进入登录页面，就可以发现登录成功。总结：由于验证码在三十分钟内有效，且两个页面可以共用

辙弃债姬2022-05-30 22:31:27
，点击最下方的提交修改，抓包发送到爆破模块，设定参数加载4位数字字典，这里测试一千条成功，密码为7308打开修改密码的页面。不点击获取验证码，直接用7308，将密码修改为123456789这时再进入登录页面，就可以发现登录成功。总结：由于验证码在三十分钟内有效，且两个页面可以

余安雾夕2022-05-30 20:47:45
爆破思路：在有些网站中，登录处的验证码都做了防护无法爆破，而其他的一些地方验证码可以爆破，却没什么大用；但是有的时候两个页面的验证码是通用的，这时如果在一个网页里爆破出