教育园src第二天之逻辑漏洞小技巧
2023-2-21 12:48:20 Author: moonsec(查看原文) 阅读量:25 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
【教育园src】逻辑漏洞小技巧

兄弟们,系我,暗月最深情的徒弟,跟着月师傅苦学两年半的挖洞练习生。之前说要开教育园专场的,在挖其他的src就给耽误了,不好意思俺一定继续勤奋更新

0x00 前言

    这次就水一下了,给你们看看我刚开始挖上海交大的证书,有点水哈,但是足够总结一下怎么挖验证码的逻辑

00X1:首先我用我的手机号注册了一个账号,然后点击忘记密码

00X2:点击手机号码,输入验证码,获取验证码(我自己手机的),然后就可以跳转到重置密码

00X3:然后就跳转到重置密码,发现这里没有要输入原始密码,就隐隐感觉这里有洞

00X4:点击刷新这个页面,进行抓包(肯定有同学问我为什么刷新一下,要是为了搞清楚它是怎么去重置密码的)

下面这个数据包是先去验证验证码是否正确的

00X5:发现刚刚验证码是四位数就可以爆破,只要将手机号改成别人的然后进行爆破四位数验证码,就可以越权重置别人的密码

但首先用另一个页面打开https://XXX.sjtu.edu.cn/dispatcher?classid=enrollCls&siteid=48&orgid=EE&lang=ZHS&sen=4 这个页面,就是手机号发送验证码的页面(为的是服务器发送验证码给手机号,后面进行爆破)

输入收集到的电话号码:1737510XXXX 点获取验证码


00X6:然后在刚刚抓的请求包里面,将电话号码换成搜集到的电话号码17375103656 ,对验证码四位进行爆破(因为这个验证码是可以一直用的,不会刷新)

然后慢慢等待10分钟以内就可以爆破出来了(这段时间喝喝茶,刷刷视频就过去了 嘻嘻嘻


00X7;爆破后可以得到验证码7227,而且这个是无时效性的,这个验证码可以一直的用,可以不断的重放


00X8:还是刚刚修改密码的页面,刷新并且抓包


00X9:将自己的手机号181XXXXXXX换成别人的1737XXXXXXX ,验证码改成爆破出来的7227(记得把cookie删除)

并且放掉包,就可以修改别人的密码了(可以自己修改一下密码登陆是否成功,或者放在重放的模块里面用爆破的正确的验证码和错误验证码,可以发现回显不一样,说明是能爆破验证码成功,验证码也是无时效性,从而修改别人的密码


00X10:我已经将手机号173XXXXXXXX的密码重置为123456789a,然后我们登陆试试


00X11;发现用别人的手机号登陆成功,而且发现这个账户有点像管理员账户,结果说明:是可以越权修改别人的密码的,因为验证码是四位,而且不刷新(成功拿下证书站)

0x12 深情的总结

        首先要搞清楚正常流程是怎么样的,然后知道每个数据包是干嘛的,这时候你就可以发散思维去想怎么绕过造成漏洞。比如这里哪个数据包是去验证验证码是否正确的而且还是四位,说明这里有利用的点。

对于验证码的漏洞,我总结的一下

1.四位验证码2.并发导致短信轰炸3.181XXXXX;1819999XXX  导致任意同时发送两个手机号验证码4.万能验证码 111111  123456 8888885.只对中国的手机号码做了验证码轰炸限制,没有对香港和国外限制6.参数滞空就可以绕过

夜已经深,又到了伤感的时候让大家看看我收集的藏头诗,希望你们能用上。可进可退

我看明月月看你喜你天经经四诗欢马毕步步马脑你必死条条碧婵

本人爱好喜欢听人吹nb,欢迎前来交流。


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMjc0NTEzMw==&mid=2653586484&idx=1&sn=ab5d753ef308a2f04dc357fe78dd49f1&chksm=811b9276b66c1b60d17808a7067454181d783489f837746dc157a2dad57ecd574b189194caf1#rd
如有侵权请联系:admin#unsafe.sh