How Hard You Are
How Special You Are

哪吒漏洞挖掘教程 【业务安全漏洞挖掘】【一】

2.1 身份认证安全

2.1.1 暴力破解

在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。

案列:某药app暴力破解

前一段时间某药app在地铁站里做广告,于是就下了看了下,抓包一看请求全是明文的,感觉渗透有戏,于是,开始渗透
先从登陆界面开始:

从登陆界面上看,使用手机号登陆的,随便输入几个手机号和密码,发现返回内容不一样,手机号没有注册过的,返回手机号不存在,手机号注册过的,返回用户名密码错误,这就好办了,自己构造个手机号字典去刷,如图:

ok,拿到手机号了,下面就开始暴力破解验证码了,用自己手机试了下,验证码是4位的,而且请求也是明文的,接下来暴力破解验证码,刚开始成功了,但是用这个验证码却登陆不上去,于是就关了那个爆破结果,后来我静下来想想,想到人家验证码可能是一次有效的,后来我又刷了一遍,但是可能被发现了,再刷结果返回302了,失败

于是我发现有个找回密码功能,也是手机验证码,填上自己自定义的密码,然后获取验证码,抓包

继续爆破,这次找到了,其实暴力破解登陆验证码的时候跟这个一样,只不过我没保存下来,如图:

用我修改的密码登陆,如图:

登陆成功

总结,这次爆破的跟之前不太一样,之前的验证码都是用过之后还有效的,这次验证码是一次性的,可能我经验太少了,大牛估计直接就想到了。

一些工具及脚本:
Burpsuite
htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan
hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB,其他协议不属于业务安全的范畴)

赞(0) 打赏
未经允许不得转载:哪吒博客 » 哪吒漏洞挖掘教程 【业务安全漏洞挖掘】【一】
分享到: 更多 (0)

评论【支持markdown语法】 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

隐藏