大家好,我是剑影,这是我的第三篇原创文章。
在我准备写第三篇原创文章的时候,我回望之前写的文章,收到了很多好朋友的建议,所以我更加仔细的注重语句之间和错别字之间的问题,这篇我将改善这些问题!在说到短信轰炸和邮箱轰炸,可能大家都遇到过,思路可能也就停留在那几个点,这篇文章我会带你进入各种思路下的不一样的短信&邮箱轰炸问题。在写这篇文章前,我去乌云镜像搜索了关于这类问题,去T00ls也搜索了,去同程SRC搜索了,去i春秋以及FreeBuf和漏洞盒子等等都去搜索了关于这类问题的漏洞详细,却发现思路很狭窄,而且也没多少人总结这方面的思路,所以,我组织了下我的思路以及网上有意义的思路构成了这篇文章。我尽可能用详细的阐述来让大家能够更容易学习到相关知识和思路。
邮箱轰炸可能对企业来说危害很小,但对用户危害很大。短信轰炸相比邮箱轰炸,带来的危害涉及到企业和用户。
那么这些问题都存在在哪些方面呢?
①:登录处
②:注册处
③:找回密码处
④:绑定处
⑤:活动领取处
⑥:独特功能处
⑦:反馈处
等等一些,不一一列举出来。以上都是常见的可能会出现问题的地方。
短信轰炸和邮箱轰炸所带来的影响除了这些,其实还会带来探测用户信息的问题以及钓鱼问题。进入正文!
比如一般参数是这样的:mobile1=XXXXXX 或 [email protected] 一般都会有5次机会,如果发送次数超过了5次,那么一时间或1天才能继续发送,但当在手机号的前面或者后面加上空格的时候就又可以发送5次,而且短信或者邮箱是收的到的,修改过的参数如:mobile1= XXXXXX ,在前面加上空格,每加一个空格就会有反复发送短信或邮件的机会。
比如这样的参数:terminal=01&Mobile=XXXXXXX,前面的接口是调用短信发送内容的接口,比如terminal参数值为01是调用注册成功的短信提示,02是调用密码重置成功的短信提示,03是调用注册成功的短信提示等等,当修改这个接口值时,也就达到了短信轰炸或邮箱轰炸的目的。
有些可能不是直接验证手机号来判断次数,而是验证当前Cookie,利用当前Cookie来进行验证发送次数的话,很容易造成绕过,这里如果验证的不是登录状态的Cookie而是普通状态下的Cookie的话就可以通过修改Cookie达到绕过验证。
我找到了类似的例子:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=27614
有些同样是验证当前IP的,如果当前IP短时间内获取短信或邮件频繁或者达到一定次数的话就会出现限制,那么就可以利用修改IP或者代理IP来进行绕过限制。
前面说到了关于加空格的绕过限制,邮箱也可以用,但还有一种方式可以绕过邮箱轰炸限制,那就是通过修改大小写,通过修改邮箱后面字母的大小写就可绕过限制,比如参数是这样的:[email protected] 当次数达到限制时,随便修改一个字母为大写:[email protected]就可绕过限制。
比如发送成功后返回值是success,发送失败的返回值是error,那么当达到次数后,可以通过修改返回值为正确的返回值:success,从而绕过限制,达到发送成功的目的。
这也算是一个绕过问题,主要也是验证不当,比如一个账户可以获取5次,那么我换一个账户又可以获取5次,没有其它验证,那么可导致大规模的短信轰炸,虽然轰炸次数少,但是确实是大规模的,其本质也是会对企业和用户造成影响。
以上是绕过限制下的短信&邮箱轰炸
以下是直接造成短信&邮箱轰炸的思路
直接造成短信&邮箱轰炸的思路
比如一些网站支持手机动态验证码登录,如果这里没有网站验证码的话,通过抓包批量发送很有可能造成危害,如果有网站验证码的话,这里就又涉及到一个新的思路了,也就是绕过网站验证码的问题,首先通过自己的账户进行短信登录,获取正确的网站验证码以及正确的手机验证码,点击登录的时候抓包,这里我用burpsuite,发送到Repeater模式,然后修改手机号为需要轰炸的手机号,然后重放,你会发现,手机验证码发送成功了,这涉及到的就是网站验证码绕过问题,步骤大概为输入正确账户正确网站验证码以及等等,登录时抓包,然后利用这个登录成功的数据包,修改值就可达到绕过轰炸现在问题。
有些网站在登录处需要手机验证,这里大概出现验证的位置为三处:
第一处:直接在登录处显示获取验证码
第二处:当点击登录时会在登录处弹出验证
第三处:当点击登录后跳转至一个专门验证的页面
这些点有可能会出现轰炸的危害,可直接抓包进行轰炸。
在注册和找回密码处,往往都需要验证码,如果没有加以验证码以及其它的限制的话,有可能会造成轰炸问题。
在个人管理界面修改手机号或者修改邮箱的时候都需要验证码,如果此时这里处理不当,也可造成轰炸问题。
一些平台支持反馈或者投诉等等,手机号或者邮箱都是自定义,也就是说可以随便输入,在我以前挖掘的过程当中,该问题利用起来虽然很有限制,但是本质上还是存在一点问题。一般这些反馈功能都不会验证提交次数,那么可以进行批量的提交,而手机号或邮箱可以指定需要轰炸的对象,当后台审核后就会进行短信或者邮箱通知,此时当你提交多少次就会通知多少次,那么也就造成了危害。
比如一些活动或者刚上线的广告,可以领取某某东西,要求获取手机验证码进行领取,一般这里最容易存在问题了,如果最后活动下线了而这个发送接口还存在的话,那么就可被更隐藏性的利用了。
比如个人后台可以添加企业资料或者什么的,然后里面会要求输入手机号,当添加成功了会有短信通知,此时如果重复添加,那么添加一次通知一次也就造成了短信轰炸的危害了。
以上就是挖掘短信轰炸&邮箱轰炸的思路了。
但细心的你可能会注意到,在登录处或者找回密码以及其它处,如果你输入的手机号或者邮箱是不存在的话它的返回信息就会返回不存在,如果存在就进行下一步操作,那么也就是说短信&邮箱轰炸也会造成用户信息被爆破的危害以及其它的危害。
短信&邮箱轰炸问题所引发的其它危害
爆破潜在用户
比如在注册处输入手机号或邮箱,它会判断该手机号或邮箱是否存在,如果存在返回通过并执行下一步的操作,如果不存在就返回不存在的信息提示,那么在这里可以批量进行爆破潜在的用户已经注册过的手机号或邮箱号,然后可被利用来进行撞库!
钓鱼问题
有些发送手机号的接口或者邮箱接口当发送时抓包,如果未过滤好,那么要发送的信息会在请求包当中,也就是说可以自定义要发送的内容,而且用的是官方的账户发送,那么很容易造成钓鱼问题,比如修改发送内容批量发送给很多用户,而修改的内容可以为钓鱼网站或其它等等,如果网站存在URL跳转问题,那么利用钓鱼在利用这个自定义内容发送问题,那么极有可能造成更具有信任性的钓鱼危害。
本文到这也就进入违章了,细心的可能会注意到,为什么你的每篇文章好像基本都是文字阐述,没有大量图片或者实际例子地址,其实我一直都想去找相关的例子,但是都没有找到,因为没有多少人深入这些问题,有的例子基本都是修改手机号或者怎么怎么样,我也找不当相关例子,而图片呢,也没有找到,一直都想用我测试时的图片,但基本涉及到漏洞信息方面的厂商都是很严谨的,授权很难,没有授权我也就无法贴出我挖掘过程中实际的成功例子,所以在阅读的过程中不要睡着呦~
总结:问题很小,但是可造成的危害还是很大,一个点出现的问题可能会造成其它的点出现问题,文章中很多思路现在很多厂商的网站还是存在的,希望厂商尽快修复相关问题,来阅读的你们如果是白帽子,那么希望你们快快的挖掘到相关问题并早早的提交给厂商,最后,发现问题,解决问题,让这个世界更美!下次文章见~
【本文挖洞技巧:挖洞技巧:绕过短信&邮箱轰炸限制以及后续 作者:安全脉搏专栏作者剑影 转载自07v8论安全】