MENU

验证码参数可控造成的DDOS攻击漏洞-复现

July 12, 2019 • Read: 2862 • Web阅读设置

0x00 准备

环境:VMware
IP:192.168.1.6
系统:windows 2008 R2
WEB:PHPCMS V9.63
工具:Burp Suite

0x01 复现

1、部署网站准备

将PHPCMS安装包解压到phpstudy的网站根目录下。
1
访问站点ip:192.168.1.6,安装phpcms。
进入后台。
2
生成首页。完成部署。
3

2、利用

在后台存在验证码。
后台地址:http://192.168.1.6/index.php?m=admin&c=index&a=login
4
验证码生成URL:

http://192.168.1.6/api.php?op=checkcode&code_len=4&font_size=20&width=130&height=height=50&font_color=&background=

观察URL中参数在code_len=font_size= width=height=
测试可以控制图片的宽、高、字符大小、生成字母个数。
如果验证码发生了大小改变,比如变大,服务器生成验证码会变大,相对来说更占用CPU或者内存,因为是正常的请求验证码,相当于CC攻击,最终可能造成服务器反应变慢或者崩溃。

测试找到服务器承受的阀值:
code_len=最大为8。
5
code_len=9时,验证码变为4位。
6
宽和高大概为100000.
测试了下改变URL中的参数,

http://192.168.1.6/api.php?op=checkcode&code_len=9&font_size=666&width=400000&height=400000&font_color=&background=

字符大小666,宽高40W。
7
8
9
9000多byte。
利用burp的爆破功能尝试多次发送数据包,看服务器的状态变化。
还没有用burp发包虚拟机已经崩了卡死,刚才大概刷新了五次。
1119_1.png
先在包里随便找个不影响的参数当变量。
这次宽高设置20W。
1127_2.png
设置攻击载荷数字型控制。
1123_1.png
从1到50增量为1测试五十个包。
线程设置二十的效果如下。
1125_1.png

原文作者:Keefe

原文链接:验证码参数可控造成的DDOS攻击漏洞-复现

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

Last Modified: August 15, 2019