一个有趣的手机验证码挖掘姿势
一个可能挖掘任意用户登录漏洞的姿势,登录时给不同手机号同时发送相同验证码,实现任意用户登录
一、背景
测试某个登录接口如下
账号密码登录:
手机验证登录:
已知账号密码登录处的账号为手机号
二、详情
1.账号密码登录
随意输入账号、密码,提示手机号未进行注册
bp抓取数据包,请求和响应如下
根据此提示,获得线索1-账号为手机号。
输入经典手机号18888888888,根据响应得到存在的账户,获得线索2-账户
POST /merchant/account/loginByPassword HTTP/1.1 Host: merchant.xxx.net User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:95.0) Gecko/20100101 Firefox/95.0 Accept: application/json, text/plain, */* Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/json;charset=utf-8 Clientid: web Authorization: [object Object] Token: [object Object] Content-Length: 41 Origin: https://www.xxx.net Referer: https://www.xxx.net/ Sec-Fetch-Dest: empty Sec-Fetch-Mode: cors Sec-Fetch-Site: same-site Te: trail