某某校企平台验证码爆破漏洞

wangshaoyu   ·   发表于 2024-03-19 14:35:52   ·   漏洞文章

在登陆处填写手机手机号(前提是系统有手机号信息)
发送验证码(此处不用抓包)

等验证码发送后,随意将验证码填入1111(我的手机号收到了四位验证码,所以验证码位数为4),使用bp抓包,发送到intruder模块

payload为1111-9999,步长为1

进行爆破,根据得到的数据包的长度进行排序(根据测试验证码过期时间为五分钟,尽量用双线程跑)

得到验证码5519

可以看到响应数据包:

也可以看一下其他验证码的数据包

查看手机号收到的信息

输入验证码5519进行登录,登录成功

用户名金币积分时间理由
Track-魔方 100.00 0 2024-03-20 19:07:16 首次有效投稿一篇文章奖励 100 继续加油,期待有更多的漏洞经验分享
Track-魔方 300.00 0 2024-03-20 19:07:19 深度 100 普适 100 可读 100

打赏我,让我更有动力~

4 条回复   |  直到 8个月前 | 766 次浏览

嘉名
发表于 9个月前

为什么是一个5519一个1419啊?

评论列表

  • 加载数据中...

编写评论内容

小瑟斯
发表于 9个月前

666

评论列表

  • 加载数据中...

编写评论内容

小瑟斯
发表于 9个月前

楼上666

评论列表

  • 加载数据中...

编写评论内容

bigadmin
发表于 8个月前

1

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.