黑客技术:一次验证码爆破的突发奇想

黑客技术:一次验证码爆破的突发奇想

黑客资讯访客1970-01-01 8:00:003035A+A-

这次挖漏洞时并没有什么有难度的操作,只是当时的一个突然的想法,在网上搜了之后发现关于这种想法的文章很少(几乎没有),所以打算发出来分享一下。

涉及漏洞,验证码通用、验证码爆破

思路:

在有些网站中,登录处的验证码都做了防护无法爆破,而其他的一些地方验证码可以爆破,却没什么大用;但是有的时候两个页面的验证码是通用的,这时如果在一个网页里爆破出了验证码,另一个页面也可以使用。他的危害就大了,可以进行修改密码,转账,换绑手机号等操作

复现:

某网站的作者页面,注册一个作者账号后

先点击作者信息,然后进行手机号修改

输入目标手机号,点击获取验证码,然后验证码先随意填写,点击最下方的提交修改,抓包

1599298360.png!small

发送到爆破模块,设定参数

1599298363.png!small

加载4位数字字典,这里测试一千条

1599298368.png!small

成功,密码为7308

打开修改密码的页面。

不点击获取验证码,直接用7308,将密码修改为123456789

1599298382.png!small

1599298786.png!small

这时再进入登录页面,就可以发现登录成功。

总结:

由于验证码在三十分钟内有效,且两个页面可以共用一个验证码,这时有一个页面出现验证码爆破,另一个页面会直接沦陷。因为对代码不是很熟悉,所以不知道在实现上验证码通用和不通用有什么区别,有知道的大佬还请指点一下。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 柔侣风晓2022-05-30 14:58:27
  • 获取验证码,然后验证码先随意填写,点击最下方的提交修改,抓包发送到爆破模块,设定参数加载4位数字字典,这里测试一千条成功,密码为7308打开修改密码的页面。不点击获取验证码,直接用7308,将密码修改为123456789这时再进入登录页面,就可以发现登录成功。
  • 慵吋掩灼2022-05-30 14:16:44
  • 两个页面可以共用一个验证码,这时有一个页面出现验证码爆破,另一个页面会直接沦陷。因为对代码不是很熟悉,所以不知道在实现上验证码通用和不通用有什么区别,有知道的大佬还请指点一下。
  • 性许鸢旧2022-05-30 18:27:49
  • 里测试一千条成功,密码为7308打开修改密码的页面。不点击获取验证码,直接用7308,将密码修改为123456789这时再进入登录页面,就可以发现登录成功。总结:由于验证码在三十分钟内有效,且两个页面可以共用
  • 辙弃债姬2022-05-30 22:31:27
  • ,点击最下方的提交修改,抓包发送到爆破模块,设定参数加载4位数字字典,这里测试一千条成功,密码为7308打开修改密码的页面。不点击获取验证码,直接用7308,将密码修改为123456789这时再进入登录页面,就可以发现登录成功。总结:由于验证码在三十分钟内有效,且两个页面可以
  • 余安雾夕2022-05-30 20:47:45
  • 爆破思路:在有些网站中,登录处的验证码都做了防护无法爆破,而其他的一些地方验证码可以爆破,却没什么大用;但是有的时候两个页面的验证码是通用的,这时如果在一个网页里爆破出

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理