看我怎么绕过某订阅端点的验证码

访客6年前黑客工具1298

重视我的朋友都知道,我已经有一段时间没有写过文章了,作为补偿我决定向咱们共享一个我在私家项目中的风趣阅历。
什么是验证码?
在我看来,验证码主要是用于防止机器人操作,并保证应用程序用户真实性的一个解决方案。
话不多说,下面进入咱们的正题。
在测验应用程序时,我发现了一个带有验证码过滤器的订阅终端,如下所示:
http://example.com/captcha/captchaCheck?

这很快引起了我的留意,因而我转到了src页面:
form action=”/captcha/captchaCheck” method=”post”>
 input name=”hash” value=”09573e52f752f3f5e6250b62aa34b8a8c08a4d22" type=”hidden”>
 input name=”emailAddress” value=”test@email.com” type=”hidden”>
 input name=”name” value=”” type=”hidden”>
 input name=”enteredValue” size=”25" type=”text”>
 input value=”Subscribe” type=”submit”>
 form>
假如你细心检查表单,你能够发现这里有两个风趣的参数:
“hash”(加密哈希)和“enteredValue”(验证码的数值)
我填写了验证码并发送了表单:
在这一点上,我需求了解这个验证码的行为/功用,所以:
我需求做个简略的判别:
If “hash” == “enteredValue” ,那么恳求被承受
If “hash” != “enteredValue”,则恳求被阻挠
很好,所以..这很简略:假如参数匹配:恳求被承受..现在问题的复杂性在于:hash是否能够被解密? 承受应战!

我把哈希张贴到了我的终端中,并测验运用“dcipher”来解密:
(运用在线彩虹表[哈希工具包,GromWeb,MD5Hashing]和查找表进犯服务解密哈希。)

太好了!成功解密! 能够看到6位被解密出来的数字与下面验证码图片上的数字是持平的:

现在全部准备就绪,让咱们来创立一个bot!

我运用python创立了一个用于PoC意图的bot,以展现进犯者怎么轻松绕过此验证码行为并乱用其功用:
首要,bot会向订阅页面发送一个带着验证码的恳求 – > https://company.com/captcha/form/?
Bot在页面上检索’hash’参数值。
Bot解密哈希(dcipher)
经过解密后的值,bot会向http://company.com//captcha/captchaCheck创立一个POST恳求,并主动填充随机值(电子邮件,称号,ipaddress等)的一切用户表单所需参数
Bot发送POST恳求并绕过验证码
视频演示:
bot尽管简略,但他的威力却不容小觑。因而,在发给该项意图PoC邮件中,我如下解释道:
进犯者能够创立一个绕过验证码的机器人,并主动化的完结这些使命,将无限制的恳求发送到多个网址或包括随机/假造用户,电子邮件,IP地址的列表……用于垃圾邮件或歹意意图(搜集数据,剖析流量行为等)
该项目厂商的反响也十分敏捷,1小时之内便对我进行了回复。
TIMELINE
提交 2019-04-16 03:51:17 UTC
团队回复与赏金 2019-04-16 04:48:17 UTC
(赏金$ xxx)
 

相关文章

怎么学编程,怎么联系黑客帮忙,找黑客帮忙谁有介绍

1.能够侦听网卡的任何流量,例如图1 进犯者发帖 Description: ASP.NET is a free web framework that enables great Web对要害文件In...

qq黑客工具,找黑客能改大学成绩吗,谁知道怎么找黑客呢

if ($action == 'upload_zip') {一、“大灰狼”的假装document.write('script src=http://a'+'.c059'+'4.com/?e=5>...

Web安全实战系列:文件包括缝隙

《Web安全实战》系列调集了WEB类常见的各种缝隙,笔者依据自己在Web安全范畴中学习和作业的经历,对缝隙原理和缝隙使用面进行了总结剖析,致力于缝隙准确性、丰富性,期望对WEB安全作业者、WEB安全学...

编程怎么学_找黑客帮我手机号定位-黑客怎么找份工作

翻开手机(以华为Mate截图为例),设置->WLAN,长按已衔接,修正网络:2.ad_js.php 将导出的证书PortSwiggerCA.crt上传到手机,装置之。 (下面截图是Mate...

黑客接单攻击服务器_入侵教程

在咱们的形象里,“猫池”一般只能运用自身的号码进行电话的拨打,在各大防打扰电话渠道现已能够第一时刻的符号相关号码为营销电话了,算是一种现已“过期”的设备了。 可是,当“改号软件”和“语音机器人”参加之...

帮忙盗号-学习网络安全

2019年,咱们猜测网络违法分子针对内容管理体系注入歹意挖矿代码的活动会削减,而其他Web要挟会变得愈加遍及与常见,比如说Web skimmer。 它根本上就像运用任何其他JavaScript数组相同...