声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

兄弟们，系我，暗月最深情的徒弟，跟着月师傅苦学两年半的挖洞练习生。之前说要开教育园专场的，在挖其他的src就给耽误了，不好意思俺一定继续勤奋更新。

0x00 前言

    这次就水一下了，给你们看看我刚开始挖上海交大的证书，有点水哈，但是足够总结一下怎么挖验证码的逻辑

00X1：首先我用我的手机号注册了一个账号，然后点击忘记密码

00X2:点击手机号码，输入验证码，获取验证码（我自己手机的），然后就可以跳转到重置密码

00X3:然后就跳转到重置密码，发现这里没有要输入原始密码,就隐隐感觉这里有洞

00X4:点击刷新这个页面，进行抓包（肯定有同学问我为什么刷新一下，要是为了搞清楚它是怎么去重置密码的）

下面这个数据包是先去验证验证码是否正确的

00X5:发现刚刚验证码是四位数就可以爆破，只要将手机号改成别人的然后进行爆破四位数验证码，就可以越权重置别人的密码

但首先用另一个页面打开https://XXX.sjtu.edu.cn/dispatcher?classid=enrollCls&siteid=48&orgid=EE&lang=ZHS&sen=4 这个页面，就是手机号发送验证码的页面（为的是服务器发送验证码给手机号，后面进行爆破）

输入收集到的电话号码：1737510XXXX 点获取验证码

00X6:然后在刚刚抓的请求包里面，将电话号码换成搜集到的电话号码17375103656 ，对验证码四位进行爆破（因为这个验证码是可以一直用的，不会刷新）

然后慢慢等待10分钟以内就可以爆破出来了（这段时间喝喝茶，刷刷视频就过去了 嘻嘻嘻

00X7；爆破后可以得到验证码7227，而且这个是无时效性的，这个验证码可以一直的用，可以不断的重放

00X8:还是刚刚修改密码的页面，刷新并且抓包

00X9:将自己的手机号181XXXXXXX换成别人的1737XXXXXXX ，验证码改成爆破出来的7227（记得把cookie删除）

并且放掉包，就可以修改别人的密码了（可以自己修改一下密码登陆是否成功，或者放在重放的模块里面用爆破的正确的验证码和错误验证码，可以发现回显不一样，说明是能爆破验证码成功，验证码也是无时效性，从而修改别人的密码

00X10：我已经将手机号173XXXXXXXX的密码重置为123456789a,然后我们登陆试试

00X11；发现用别人的手机号登陆成功,而且发现这个账户有点像管理员账户，结果说明：是可以越权修改别人的密码的，因为验证码是四位，而且不刷新(成功拿下证书站)

        首先要搞清楚正常流程是怎么样的，然后知道每个数据包是干嘛的，这时候你就可以发散思维去想怎么绕过造成漏洞。比如这里哪个数据包是去验证验证码是否正确的而且还是四位，说明这里有利用的点。

对于验证码的漏洞，我总结的一下

1.四位验证码2.并发导致短信轰炸3.181XXXXX;1819999XXX  导致任意同时发送两个手机号验证码4.万能验证码 111111  123456 8888885.只对中国的手机号码做了验证码轰炸限制，没有对香港和国外限制6.参数滞空就可以绕过

夜已经深,又到了伤感的时候让大家看看我收集的藏头诗,希望你们能用上。可进可退

我看明月月看你喜你天经经四诗欢马毕步步马脑你必死条条碧婵

本人爱好喜欢听人吹nb，欢迎前来交流。