SRC另類思路分享：不受限制的資源調用

VSole2022-05-16 06:08:46

對于SRC的挖掘思路，很多師傅已經給出了挖掘實用技巧。今天帶來一篇本人的思路分享：不受限制的資源調用。

相信在各位的學習、生活中都遇到過這樣的頁面

此處我以某廠商的云服務購買為例，由圖可知，需要我們輸入姓名、身份證、聯系電話等。

如果按照我們普通的挖掘思路，此處可能存在的漏洞是不是有SQL、XSS、越權查看他人提交信息、CSRF等等，其實此處可以利用一種新的思路，我稱之為不受限制的資源調用。

此處我們先輸入自己的真實姓名+身份證號，然后把身份證號的最后一位7，改成5，進行提交

此時可以發現，提示我們需要輸入正確的身份證號碼，同時Burp沒有任何數據包請求，判斷此處是前端做了校驗，校驗用戶輸入的身份證號是否能夠與規則匹配。

同時可在JS文件中找到相應規則，此處校驗不通過會返回false阻止我們進行提交。

所以此時，我們需要把身份證號改成一個正確的身份證號，把姓名也改成正確的姓名，同時進行提交，此時可見，在我們的Burp中出現了我們想要的數據包，包含了我們的姓名、身份證號、聯系電話等等。

此時我們再將數據包中的6改成5，也就是把真實身份證號又改回去一個不存在的身份證號，然后抓取返回包，可見，此時后端又做了一個驗證，告知我們：身份證驗證錯誤。

錯誤圖：

此時先不著急往下進行測試，我們先來了解一下身份證驗證的原理：

這里我做了一張流程圖，假如我此時是一名開發者，我需要給我的APP加上實名驗證功能，那么我可以直接去向最上層的那個機構申請接口嗎？

不能，因為我不是企業，而且我也不是屬于它直系應用的開發者。

我只能向他的下級，也就是騰訊、阿里、百度這樣的企業去申請API接口，同時這些公司會把我們提交的數據，提交給最上層的那個機構，并且根據返回的數據，給我們返回的數據。

也就是身份證號驗證成功，或者二要素驗證不一致。

我們再來說一下直系應用與企業的區別，直系應用去申請二要素驗證，一般是不用花錢的。

而我們作為個人開發者，或者企業，去調用那個接口，其實是要錢的。

我們在網上隨便找一些關鍵字，可以看到，價格其實還是蠻高的。

那么此時是不是可以利用樓上所示的接口？

去做一些事情呢，我這里假設要對別人進行社工，那么他的姓名是XXX，身份證號的后四位或者后六位我不知道，就可以對他進行一個爆破。

此時我們勾選上最后四位，然后把數值調整到0000-9999之間，此時根據返回包的長度大小、可判斷身份證號碼是否正確。

此處可見，我們利用某平臺開放的實名認證接口，可以完成我們自己想做的身份證二要素驗證，同時由于廠商沒有做限制，便可以無限消耗此廠商的資源，從而達到我們的目的。

像本文中的二要素驗證，以及短信驗證，還有活人檢測，其實都是基于Money的，在我們的SRC挖掘過程中，也可以去嘗試一下這些點。

教程文章僅限用于學習和研究目的，請勿用于非法用途。漏洞挖掘中應遵守SRC中的相關規則

src

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接