社区存在验证码10分钟无限次爆破

君叹   ·   发表于 2021-08-13 12:00:30   ·   漏洞文章

根据学员的邀请连接可以进行注册

我感觉这个地方可以试试爆破一下

聂风老师说过
渗透测试不能死心眼
不能觉得对方是腾讯
就没有漏洞
同理
不能因为对方是学院
就认为没有漏洞
开搞开搞

先把正确的验证码放在第101位
确保能够爆破

每次的返回包都是这样类似于一个JS弹窗
然后尝试放到跑包模块

把验证码框住爆破
等到发送了101包的时候
我们按长度排序
能看到返回包长度明显不一样

然后我们使用这个验证码进行注册
会提示一个手机号已经被注册

我们用刚刚输入的账号密码登录
成功登陆
然后签到
给自己的文章打赏一个金币

根据这个漏洞的话,如果没有人为干预的情况下
只要我拥有足够多的手机号码
我就可以进行无限次注册

再花10块钱买个服务器
写个脚本挂服务器上
每天运行这些账号签到
给自己文章打赏
然后提现
但这显然不现实
肯定有人为干预啊

漏洞就到这里了

用户名金币积分时间理由
Track-子羽 800.00 0 2023-06-01 11:11:25 发现靶场漏洞

打赏我,让我更有动力~

4 条回复   |  直到 2023-7-26 | 745 次浏览

龙王
发表于 2023-6-1

账号密码不是随便那个手机号都可以注册的,我记得,你得报名后,才会发送一个账号给你

评论列表

  • 加载数据中...

编写评论内容

龙王
发表于 2023-6-1

但不是不可以在别的平台尝试下这么搞

评论列表

  • 加载数据中...

编写评论内容

龙王
发表于 2023-6-1

刚在别的平台尝试了下,访问量大了直接卡住,应该是被封ip了,这里就需要有代理技术了,除非自己搭建一个代理池,爆破是要有完整的系统的

评论列表

  • 加载数据中...

编写评论内容

山屿云
发表于 2023-7-26

大佬就是强

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.