某某校企平台验证码爆破漏洞

wangshaoyu   ·   发表于 2024-03-19 14:35:52   ·   漏洞文章

在登陆处填写手机手机号(前提是系统有手机号信息)
发送验证码(此处不用抓包)

等验证码发送后,随意将验证码填入1111(我的手机号收到了四位验证码,所以验证码位数为4),使用bp抓包,发送到intruder模块

payload为1111-9999,步长为1

进行爆破,根据得到的数据包的长度进行排序(根据测试验证码过期时间为五分钟,尽量用双线程跑)

得到验证码5519

可以看到响应数据包:

也可以看一下其他验证码的数据包

查看手机号收到的信息

输入验证码5519进行登录,登录成功

用户名金币积分时间理由
Track-魔方 100.00 0 2024-03-20 19:07:16 首次有效投稿一篇文章奖励 100 继续加油,期待有更多的漏洞经验分享
Track-魔方 300.00 0 2024-03-20 19:07:19 深度 100 普适 100 可读 100

打赏我,让我更有动力~

6 Reply   |  Until 6天前 | 488 View

嘉名
发表于 1个月前

为什么是一个5519一个1419啊?

评论列表

  • 加载数据中...

编写评论内容

小瑟斯
发表于 1个月前

666

评论列表

  • 加载数据中...

编写评论内容

长期收webshell
发表于 1个月前

长期大量收WebShell,高价寻渗透大佬合作,有意者联系Telegram:@xxx9964

评论列表

  • 加载数据中...

编写评论内容

长期收webshell
发表于 1个月前

长期大量收WebShell,高价寻渗透大佬合作,有意者联系Telegram:xxx9964

评论列表

  • 加载数据中...

编写评论内容

小瑟斯
发表于 1个月前

楼上666

评论列表

  • 加载数据中...

编写评论内容

bigadmin
发表于 6天前

1

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.