正文

• 未注册时

• 注册过时

这个业务点还可以通过手机号码接收验证码登入，因为存在60s才能发送一次的限制所以没有短信轰炸。

但是可以通过抓这个发送验证码的包，可以造成一个横向的短信轰炸。

这里的测试是否可以通过xff头等绕过短信发送频率限制的插件是coolcat师傅写的burpFakeIP

https://github.com/TheKingOfDuck/burpFakeIP

这里收到的验证码为4位数，然后每个验证码可以使用3次，还是存在一定爆破的可能性，相当于可以任意登入账户，或者先枚举一些用户，然后再批量随机爆破验证码。

一个burp intruder跑发送验证码的，比如一个跑1371234XXXX；

另一个burp intruder跑验证验证码的，然后这个跑验证码为任意一个四位数的验证码，跟着上面跑

理论上发一次包，跑出来的概率是万分之一

而且验证码可以重复使用

登入进去查看信息，看burp里面的包”registerTime”:”2020-06-30应该就是刚刚爆破的时候创建的账号，默认在没有创建过账号的情况下，爆破成功验证码就会自动创建账号。

总结

文章来源：博客园（lego's blog）原文地址：https://legoc.github.io/2020/07/07/一个有趣的任意密码重置/

关 注 有 礼