短信轟炸機制作
前言:
昨天跟NoSafe小組的 Asey1k見了個面,互相交流了一下午的技術。他演示了利用某個B2B網站的短信驗證碼漏洞,實現任意用戶密碼重置。並且可以強制任意改註冊手機號。我也是受到啟發;給大家講一個小小的案例吧。這個案例他當時給我演示過,就是:利用某網站註冊短信驗證碼漏洞,抓包改包實現短信轟炸騷擾;我回來後測試了一下。那 來看我是怎麽實現的。
作者:釗渙
0X01:
測試對象的信息我就不公開了,全程打碼。這也是隱私問題 學習思路就好。首先打開要測試的網站,找到註冊頁面;
(圖片來自8090安全門戶)
上圖我們可以看到,它這個站註冊的時候是要發送驗證碼的。一般比較大的電商網站都會有,不止電商還有很多。它這個註冊有什麽不同呢?就是驗證碼這裏沒有做時間限制。可以無限點擊,第三方接碼平臺就會不停的發給你短信。
(圖片來自8090安全門戶)
0X02:
這樣子的話,我們可以利用抓包工具,修改攔截數據然後執行,實現短信轟炸的效果。當時Asey1k用的是Burp Suite,那我這裏就用Fiddler4演示一把吧。簡單粗暴~ 首先打開測試網站的註冊頁面;輸入手機號-圖片驗證碼-開啟Fiddler4 紅色T 抓包攔截-點擊驗證短信發送。 這樣就攔截到了請求的數據。再按Shift+r 把數值調整成500
(圖片來自8090安全門戶)
然後執行,如下圖;
(圖片來自8090安全門戶)
接著手機就會不停的收到短信,直至500條發完為止;
(圖片來自8090安全門戶)
0×03 總結
通過對此次註冊短信驗證碼漏洞事件的分析和利用,為減少和杜絕此類事件的再次發生,提高安全預警能力,在此提醒業界同仁加強關註日驗證碼邏輯漏洞的安全細節:
1、設置時間判斷,比如60秒內限制發一條
2、驗證碼不要是4位數,一般驗證碼的有效時間是10分鐘,10分鐘如果是4位數的驗證碼也就是0000-9999=共1萬次的可能性。如果使用burpsuite,intruder attack進行短信模糊測試驗證,一般來講5-6分鐘就會跑完,即可爆破出正確密碼。
3、望廠商多關註敏感安全事件,及時修復高危漏洞
【聲明】:8090安全小組門戶(http://www.8090-sec.com)登載此文出於傳遞更多信息之目的,並不代表本站贊同其觀點和對其真實性負責,僅適於網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。 轉載:http://www.8090-sec.com/archives/7483
短信轟炸機制作