长亭百川云 - 文章详情

SRC挖掘 | "另类"短信轰炸绕过两则

暗影安全

87

2024-07-13

文章转载来源:不懂安全的果仁

Spring

前言

短信轰炸漏洞是渗透测试中常见的一类漏洞,也是大家在SRC挖掘过程中常测试的点,网上常规的短信轰炸挖掘技巧也有很多,绕过方式也花样百出,在这里与大家分享一下我在实际渗透中的两例绕过思路。

案例1

在某次项目上发现了一个通过手机验证码进行密码找回的功能点。

数据包如下

正常对一个手机号进行短信轰炸,会提示我们90s内不允许对一个手机号进行重复发送。所以,我在这里通过添加+、空格、\n、逗号进行绕过,最终没有绕过成功。

但是,我这里注意到了一个参数smsType,字面直翻的意思就是短信类型。这里我猜想短信类型无非分为以下两类:

功能点:登陆、修改密码、修改手机号、商品下单等等,即一个系统会有很多功能点具备发送短信的功能。

客户端:一个业务系统会有web、app、小程序等不同的客户端。

因此,思路就很清楚了smsType参数的值是一个int类型,每个值对应不同功能点的短信发送功能,对smsType值进行遍历。

返回包为550的均为短信验证码发送成功的。

注意观察一下短信的内容,再次证实了是不同功能点发送的短信,在做渗透之前,笔者也发现了多个功能点存在发送验证码的功能,例如:商品下单、登陆、修改密码、修改手机号等等。并且在做信息收集的时候,发现同一个业务系统存在一个web站点、一个app,一个小程序,甚至还存在一个app.test.com的域名。

因为只是遍历出不到10个类型,所以这里并不能针对单个手机号进行轰炸,这里可以添加多个手机号进行横向轰炸。

案例2

在某次项目中遇到了下单支付发送验证码的功能点,具体流程为用户下单-发送验证码,而请求包的流程为

1、用户下单,生成订单id。

2、根据订单id发送验证码。

一开始我对第二个数据包进行重复,发现一个订单只能发送5次验证码。但是,我在重放第一个数据包的时候发现每次都会生成一个不同订单id。那么,我们先生成10个订单id,每个id可以发送5次验证码,10次就是50次,此时就造成了短信轰炸。

扫描二维码关注我们

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2