參考文章
- 挖洞技巧:繞過短信&郵箱轟炸限制以及后續
- Tag: #邏輯漏洞 #信息轟炸
- Ref:
本片文章僅供學習使用,切勿觸犯法律!
概述
總結
一、漏洞介紹
信息轟炸主要是利用短信或郵箱頻繁向用戶發送信息。雖然對企業的危害比較小,但是對用戶危害很大(很煩)。
二、漏洞原理
引發原因有很多種,主要是在執行發送短信、郵箱等操作有邏輯漏洞,導致可以重復執行,使得用戶不堪其擾。
三、漏洞危害
- 騷擾用戶
- 竊取用戶信息、釣魚問題
四、利用前提
- 目標網站有發送短信、郵件等功能
- 在執行發送短信、郵件等功能有漏洞,可以重復執行
五、挖掘利用
1、漏洞類型1
1.描述
2.挖掘
常見於:
- 登錄處
- 注冊處
- 找回密碼處
- 綁定處
- 活動領取處
- 獨特功能處
- 反饋處
繞過轟炸限制的思路
1.利用空格繞過短信&郵箱轟炸限制
比如一般參數是這樣的:mobile1=XXXXXX 或 email=XXXXXX@XX.XXX 一般都會有5次機會,如果發送次數超過了5次,那么一時間或1天才能繼續發送,但當在手機號的前面或者后面加上空格的時候就又可以發送5次,而且短信或者郵箱是收的到的,修改過的參數如:mobile1= XXXXXX ,在前面加上空格,每加一個空格就會有反復發送短信或郵件的機會。
2.利用調用接口繞過短信&郵箱轟炸限制
比如這樣的參數:terminal=01&Mobile=XXXXXXX,前面的接口是調用短信發送內容的接口,比如terminal參數值為01是調用注冊成功的短信提示,02是調用密碼重置成功的短信提示,03是調用注冊成功的短信提示等等,當修改這個接口值時,也就達到了短信轟炸或郵箱轟炸的目的。
3.修改Cookie值繞過短信&郵箱轟炸限制
有些可能不是直接驗證手機號來判斷次數,而是驗證當前Cookie,利用當前Cookie來進行驗證發送次數的話,很容易造成繞過,這里如果驗證的不是登錄狀態的Cookie而是普通狀態下的Cookie的話就可以通過修改Cookie達到繞過驗證。
類似的例子:
https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=27614
4.修改IP繞過短信&郵箱轟炸限制
有些同樣是驗證當前IP的,如果當前IP短時間內獲取短信或郵件頻繁或者達到一定次數的話就會出現限制,那么就可以利用修改IP或者代理IP來進行繞過限制。
5.利用大小寫繞過郵箱轟炸限制
前面說到了關於加空格的繞過限制,郵箱也可以用,但還有一種方式可以繞過郵箱轟炸限制,那就是通過修改大小寫,通過修改郵箱后面字母的大小寫就可繞過限制,比如參數是這樣的:Email=XXXX@qq.com 當次數達到限制時,隨便修改一個字母為大寫:Email=XXXX@Qq.com就可繞過限制。
6.修改返回值繞過短信&郵箱轟炸限制
比如發送成功后返回值是success,發送失敗的返回值是error,那么當達到次數后,可以通過修改返回值為正確的返回值:success,從而繞過限制,達到發送成功的目的。
7.利用不同賬戶達到短信&郵箱轟炸
這也算是一個繞過問題,主要也是驗證不當,比如一個賬戶可以獲取5次,那么我換一個賬戶又可以獲取5次,沒有其它驗證,那么可導致大規模的短信轟炸,雖然轟炸次數少,但是確實是大規模的,其本質也是會對企業和用戶造成影響。
3.利用
直接造成信息轟炸
1.利用登錄處達到短信轟炸
比如一些網站支持手機動態驗證碼登錄,如果這里沒有網站驗證碼的話,通過抓包批量發送很有可能造成危害,如果有網站驗證碼的話,這里就又涉及到一個新的思路了,也就是繞過網站驗證碼的問題,首先通過自己的賬戶進行短信登錄,獲取正確的網站驗證碼以及正確的手機驗證碼,點擊登錄的時候抓包,這里我用burpsuite,發送到Repeater模式,然后修改手機號為需要轟炸的手機號,然后重放,你會發現,手機驗證碼發送成功了,這涉及到的就是網站驗證碼繞過問題,步驟大概為輸入正確賬戶正確網站驗證碼以及等等,登錄時抓包,然后利用這個登錄成功的數據包,修改值就可達到繞過轟炸現在問題。
有些網站在登錄處需要手機驗證,這里大概出現驗證的位置為三處:
第一處:直接在登錄處顯示獲取驗證碼
第二處:當點擊登錄時會在登錄處彈出驗證
第三處:當點擊登錄后跳轉至一個專門驗證的頁面
這些點有可能會出現轟炸的危害,可直接抓包進行轟炸。
2.利用注冊處&找回密碼處進行轟炸
在注冊和找回密碼處,往往都需要驗證碼,如果沒有加以驗證碼以及其它的限制的話,有可能會造成轟炸問題。
3.利用修改處進行轟炸
在個人管理界面修改手機號或者修改郵箱的時候都需要驗證碼,如果此時這里處理不當,也可造成轟炸問題。
4.利用反饋處進行轟炸
一些平台支持反饋或者投訴等等,手機號或者郵箱都是自定義,也就是說可以隨便輸入,在我以前挖掘的過程當中,該問題利用起來雖然很有限制,但是本質上還是存在一點問題。一般這些反饋功能都不會驗證提交次數,那么可以進行批量的提交,而手機號或郵箱可以指定需要轟炸的對象,當后台審核后就會進行短信或者郵箱通知,此時當你提交多少次就會通知多少次,那么也就造成了危害。
5.利用某些活動頁面進行轟炸
比如一些活動或者剛上線的廣告,可以領取某某東西,要求獲取手機驗證碼進行領取,一般這里最容易存在問題了,如果最后活動下線了而這個發送接口還存在的話,那么就可被更隱藏性的利用了。
6.利用獨特功能進行轟炸
比如個人后台可以添加企業資料或者什么的,然后里面會要求輸入手機號,當添加成功了會有短信通知,此時如果重復添加,那么添加一次通知一次也就造成了短信轟炸的危害了。
利用信息轟炸引發其他危害
1.爆破潛在用戶
比如在注冊處輸入手機號或郵箱,它會判斷該手機號或郵箱是否存在,如果存在返回通過並執行下一步的操作,如果不存在就返回不存在的信息提示,那么在這里可以批量進行爆破潛在的用戶已經注冊過的手機號或郵箱號,然后可被利用來進行撞庫!
2.釣魚問題
有些發送手機號的接口或者郵箱接口當發送時抓包,如果未過濾好,那么要發送的信息會在請求包當中,也就是說可以自定義要發送的內容,而且用的是官方的賬戶發送,那么很容易造成釣魚問題,比如修改發送內容批量發送給很多用戶,而修改的內容可以為釣魚網站或其它等等,如果網站存在URL跳轉問題,那么利用釣魚在利用這個自定義內容發送問題,那么極有可能造成更具有信任性的釣魚危害。
六、修復防范
主要使限制發送次數,並對代碼做嚴格審核。或則限制信息接收方收到信息的次數(理論上可以,不排除有特殊情況)。