邏輯漏洞-驗證碼碰撞

文章源自【位元組脈搏社區】-位元組脈搏實驗室

作者-Beginners

第一步,漏洞場景

在一次和朋友聊天的過程中,得知他們正在使用一款APP進行網上授課,所以就萌發了測試的想法

0x02 證書導入模擬器:

抓取到數據包下一步選擇位置保存即可,格式為.cer,方便導入到模擬器中

證書導入到模擬器即可抓取到數據包

0x02 滲透測試:

第一步,下載應用:

第二步,測試登陸處:

提示驗證碼30分鐘內有效,而且驗證碼為四位數。所以第一時間想到驗證碼碰撞。

第三步,驗證碼碰撞:

第四步,這裡存在一個本地時間校驗,重新抓取數據包繼續碰撞上一個驗證碼即可繞過校驗:

第五步,爆破成功,刷新後成功進入賬戶:

VirMach 便宜 VPS

QNews

QNews