漏洞原理
短信验证码验证时间和次数无限制,存在爆破可能
短信验证码有效期:5~10min,验证码位数4位或6位,纯数字
破解方式:使用枚举逐个尝试
使用BP爆破短信验证码
1.可以先用已有手机号确认验证码位数
2.发送验证码后将验证码输入,然后登陆抓包
3.后续和爆破操作一致
如果字典太大,可以分开多个,将intruder中的内容复制过去分别在多个BP中跑
注:BP中构造验证码payload(设置一个最大位数和最小位数均一致)
短信验证码爆破
漏洞原理
短信验证码验证时间和次数无限制,存在爆破可能
短信验证码有效期:5~10min,验证码位数4位或6位,纯数字
破解方式:使用枚举逐个尝试
使用BP爆破短信验证码
1.可以先用已有手机号确认验证码位数
2.发送验证码后将验证码输入,然后登陆抓包
3.后续和爆破操作一致
如果字典太大,可以分开多个,将intruder中的内容复制过去分别在多个BP中跑
注:BP中构造验证码payload(设置一个最大位数和最小位数均一致)