(36.1)【验证码漏洞专题】验证码复用、无效验证码、未绑定验证码、前端获取、暴力破解、回显……
目录
一、验证码不刷新/复用(固定的)
1.1、原理:
1.2、产生的原因:
1.3、利用过程一:(不刷新验证码)
1.3.1、前提:
1.3.2、获取验证码
1.3.3、利用爆破:
1.4、利用过程二:(报错不关闭)
1.4.1、前提:
1.4.2、获取验证码
1.4.3、利用爆破
二、无效验证
2.1、原理:
2.2、产生原因:
2.3、利用过程:
2.3.1、获取验证码
2.3.2、重新登录
2.3.3、修改
2.3.4、利用
三、验证码未与手机号绑定
3.1、原理:
3.2、产生原因:
3.3、利用
3.3.1、获取验证码
3.3.2、重新登录
3.3.3、修改
3.3.4、利用
四、验证码暴力破解漏洞
4.1、原理:
4.2、产生原因:
4.3、爆破时间效率(纯数字):
4.3.1、4位
4.3.2、6位
4.4、利用过程:
4.4.1、获取验证码
4.4.2、抓包爆破
4.4.3、分析
4.4.4、目的:
五、客户端验证绕过
5.1、原理:
5.2、产生的原因:
5.3、利用过程:
六、验证码前端可获取
6.1、原理:
6.2、产生原因:
6.3、利用过程一:
6.3.1、直接返回明文验证码
6.3.2、返回密文验证码
6.4、利用过程二:
6.4.1、拦截替换返回包
6.5、利用过程三:
6.5.1、验证码隐藏在源码里
6.6、利用过程四:
6.6.1、验证码隐藏在Cookie中
七、验证码回显
7.1、原理:
7.2、利用原理:
7.3、利用过程:
7.3.1、常规流程:
八、验证码薄弱
8.1、原理:
8.2、产生原因:
8.3、工具:
8.3.1、 PKAV HTTP Fuzzer 1.5.6
8.3.2、GraphicsMagick(Linux)
8.3.3、Tesseract-OCR
8.3.4、xp_CAPTCHA(BP插件)
九、验证码重放(短信轰炸)
9.1、原理:
9.2、产生原因:
9.3、利用过程:
十、墨者靶场:
10.1 登录密码重置漏洞(验证码复用):
(This message is make for you )
一、验证码不刷新/复用(固定的)
1.1、原理:
顾名思义,在某种条件下,验证码未被刷新,被恶意利用,或使用后未销毁,被重复利用
1.2、产生的原因:
Session存在有效期
逻辑处理的漏洞,使用后没直接销毁
1.3、利用过程一:(不刷新验证码)
1.3.1、前提:
在Session有效的时间内(即身份凭证没失效)
1.3.2、获取验证码
获取验证码并缓存于Session中(身份凭证)
1.3.3、利用爆破:
使用burpsuite抓包,使用同一个Session,进行登录密码爆破(无论失败多少次,只要不刷新页面就可在销毁前进行有限次爆破)
(但是在有限的时间内穷举爆破可能是很小的)
1.4、利用过程二:(报错不关闭)
1.4.1、前提:
前提还是在Session有效期内
1.4.2、获取验证码
获取验证码并缓存于Session中(身份凭证)
1.4.3、利用爆破
使用burpsuite抓包,使用同一个验证码,进行登录密码爆破
密码错误,系统会打开一个新页面或弹出一个警告窗口,提示用户登录失败
(如果点击确认,会返回登录,且验证码会刷新)
使用burpsuite的intruder模块就可以进行暴力破解就可
二、无效验证
2.1、原理:
存在接口问题,因为每个功能都会被设为不同的模块进行耦合,如果出现验证模块与功能没有没有通过接口关联上,此时2模块不存在如何关联,所以无论输入任何验证码(收到的验证码),都判对(出现几率小,多见于新、小网站)
2.2、产生原因:
开发阶段,出于安全性考虑,将每个功能进行单独开发,后通过接口关联,但是如果由于疏忽导致未进行关联,就会出现验证无效。
2.3、利用过程:
2.3.1、获取验证码
使用自己手机注册(等操作)获取验证码
2.3.2、重新登录
重新进去注册(上面要操作页面)再使用目标手机注册
2.3.3、修改
并使用自己手机获取的验证码
2.3.4、利用
可以进行绑定任意手机号
重置密码
任意用户注册
……
三、验证码未与手机号绑定
3.1、原理:
顾名思义,请求的验证码未与对应的手机号进行绑定
手机A的验证,也可以手机B使用,和上面的有异曲同工之妙
3.2、产生原因:
正常情况,验证码仅能使用一次,验证码未能和请求手机号绑定
验证码因为有一段时间的有效期,会被恶意利用
3.3、利用
3.3.1、获取验证码
使用自己手机注册(等操作)获取验证码
3.3.2、重新登录
重新进去注册(上面要操作页面)再使用目标手机注册
3.3.3、修改
并使用自己手机获取的验证码
3.3.4、利用
可以进行绑定任意手机号
重置密码
任意用户注册
……
四、验证码暴力破解漏洞
4.1、原理:
顾名思义。因为验证一般由4位或6位数字组成,对验证进行枚举爆破,但是要在验证码过期时间内爆破出来才有效。(5分钟或15分钟有效时间,最多w把次)
4.2、产生原因:
服务端未对验证时间、次数作出限制,存在爆破的可能性
短信验证码由4位或6位组成,存在爆破可能性
4.3、爆破时间效率(纯数字):
4.3.1、4位
从0000~9999,10000种可能,5分钟可以跑完(多线程)
4.3.2、6位
从000000~999999,1000000种可能,是4位验证码的100倍
4.4、利用过程:
4.4.1、获取验证码
输入手机号获取验证码,输入任意短信验证码
4.4.2、抓包爆破
抓请求的数据包,将短信验证码参数设置成有效负载,payloads(有效负载)设置为字数型,多设置几个线程,(根据验证码长度)把取值范围设置为0000-9999,点击开始攻击,进行暴解
4.4.3、分析
对攻击结果进行分析,对返回响应包长度判断,如果有一个和其余的都不一样,就可能是爆破成功了
4.4.4、目的:
这个老六,验证码利用的目的都一样了(任意注册,越权登录……)
五、客户端验证绕过
5.1、原理:
顾名思义,在客户端验证,就创造了修改的机会,并进行验证的绕过
5.2、产生的原因:
未采取安全的验证方式,即在服务端进行验证,当在前端进行验证的时候,就会存在绕过的风
逻辑设计缺陷,可绕过验证,比如直接删除COOKIE或删除验证码参数、验证码参数可绕过、当验证不通过清空session时,验证码参数值为空时绕过、绕过和修改Response状态值等
5.3、利用过程:
验证码这一块,利用目的一模一样呀,根据利用方法略有不同
六、验证码前端可获取
6.1、原理:
顾名思义,如果在前端产生、校验验证码(js),则可以通过抓包查找验证码字段,或关闭js等手段,可能达到最终目的。
(以前的网站中)由于安全意识缺乏,会隐藏在网站的源码中,或者隐藏在请求的Cookie中
6.2、产生原因:
缺乏安全意识(多见于老网站)
6.3、利用过程一:
6.3.1、直接返回明文验证码
点击获取收集验证码,监听到两条json数据,可以发现验证码就藏在ticket里面,输入验证码即可登陆成功
6.3.2、返回密文验证码
验证加密后返回客户端,获取加密后的验证码,解密后即可登录成功
6.4、利用过程二:
6.4.1、拦截替换返回包
①使用正常账号修改密码,获取验证码通过时服务器返回数据
②分析返回数据中成功时的数据
③使用burpsuite代理后,点击确定,服务器会返回验证码错误信息
④使用保存的信息里面的验证成功的数据,进行替换
eg:{"MessageHeader":{"MessageID":"RSP036","ErrorCode":"S000","Description":"成功!"}}
6.5、利用过程三:
6.5.1、验证码隐藏在源码里
①自己提交自己的验证码
②右键打开网站源代码,按Ctrl+F键进行搜索,查找自己提交的验证码进行匹配,如果匹配到,则说明验证码隐藏在源码中
③通过编写脚本代码(python),提取源码中的验证码并将其填入每次请求的报文中,达到各种批量操作目的
6.6、利用过程四:
6.6.1、验证码隐藏在Cookie中
验证码的值可能会用Session存储起来,通过自己提交的验证码,去在Session中寻找到验证码,下次输入错误的验证码,抓包修改。(Session占用服务器资源,有的验证码的值被加密后存储在Cookie中)
在提交登录的时候抓包,分析一下数据包中的Cookie字段,寻找相匹配的验证码,或是经过了简单加密的验证码
七、验证码回显
7.1、原理:
把验证码校验的功能放到客户端来进行(返回数据包中、客户端页面中),从而导致验证码在客户端回显
7.2、利用原理:
客户端回显,就是当注册或者绑定的时候,用户向网站系统发送一条验证码(短信验证码等)的请求,cookie中会包含验证码并直接回显在数据包中(mobile_code=)
通过抓包工具可截取真实验证码(mobile_code=),并修改自己提交的验证码(code)与真正验证码一致,(在repeater重发器中)并根据返回的状态码(例如0,1,2,3等这样的数字)进行判断
7.3、利用过程:
7.3.1、常规流程:
设置代理拦截-----填写要绑定的手机号-----点击发送验证码-----提交验证码-----客户端回显(重点:抓包修改)
抓包
服务器端向手机发送的验证码在cookie中的"moblie_code="中会有显示
判断正确回显规则
将抓到的回显到客户端的包发到repeater(重发器),然后一般会有特殊的回显数字,判断每种数字代表的含义
修改
填写正确验证码的,在回显的时候,与填写错误的验证码的时候回显的不一样的数字,就是状态码,或者试试修改为正确的回显码
八、验证码薄弱
8.1、原理:
利用工具、脚本,去调用识别图片的API接口,从而达到验证码爆破的目的
8.2、产生原因:
验证码识别简单,无任何干扰,登录时候虽然需要识别验证码,但是验证码设计的过于简单,可以通过工具或脚本来识别识别,进而导致登录面临爆破风险
8.3、工具:
8.3.1、 PKAV HTTP Fuzzer 1.5.6
链接:https://pan.baidu.com/s/1TIPSKyxim67XFL2C0O1lMA?pwd=hj12
提取码:hj12免安装的(win32,win64都可以使用)
8.3.2、GraphicsMagick(Linux)
//①安装相关依赖包
yum install -y gcc libpng libjpeg libpng-devel libjpeg-devel ghostscript libtiff libtiff-devel freetype freetype-devel
//②下载
wget ftp://ftp.graphicsmagick.org/pub/GraphicsMagick/1.3/GraphicsMagick-1.3.25.tar.gz
//③解压
tar -zxvf GraphicsMagick-1.3.25.tar.gz
//④编译安装
cd GraphicsMagick-1.3.25
./configure
make && make install
//⑤验证安装
gm version
输出相关信息就是安装成功了
8.3.3、Tesseract-OCR
(其实都很类似,不做更多操作了)
8.3.4、xp_CAPTCHA(BP插件)
(我在BP的BApp store里没找到)
项目地址(GitHub):
(初级,白嫖)https://github.com/smxiazi/NEW_xp_CAPTCHA
(接入商用API)https://github.com/smxiazi/xp_CAPTCHA
九、验证码重放(短信轰炸)
9.1、原理:
对短信验证码接口进行重放,导致大量发送恶意短信
9.2、产生原因:
发送验证码的次数、时间限制不严格
9.3、利用过程:
使用目标手机号,每隔60秒可发下一条短信,无限发送,达到短信轰炸的目的
并可通过编写Python脚本,通过计算验证码重复的间间隔,实现短信轰炸的目的
十、墨者靶场:
10.1 登录密码重置漏洞(验证码复用):
原理:
验证码未与手机号绑定,导致可以通过验证码任意修改任何账号的密码
(这个应该算一个验证码的问题)
无所不能的朝阳市民
目标用户是17101304128
使用已注册的手机,去接收验证码
Wb95eU
使用要重置账户,发送验证码
使用自己已注册手机获得的验证码,去重置目标用户的密码
