今天分享的這篇Writeup是作者在參與漏洞眾測(cè)中，針對(duì)目標(biāo)系統(tǒng)的動(dòng)態(tài)口令OTP (One Time Password)，通過利用簡(jiǎn)單的暴力枚舉方法，實(shí)現(xiàn)了對(duì)目標(biāo)系統(tǒng)雙因素驗(yàn)證機(jī)制2FA (Two-Factor Authentication)的繞過或破解。目標(biāo)系統(tǒng)是印度最大的旅行服務(wù)公司網(wǎng)站，其采用了動(dòng)態(tài)口令OTP作為雙因素驗(yàn)證2FA的實(shí)現(xiàn)手段。

通常來說，OTP是從0000到9999的4位數(shù)組合，假如OTP有一萬種可能性的組合，在如今強(qiáng)大的計(jì)算機(jī)時(shí)代，處理10000種組合也只需幾分鐘的時(shí)間。所以，如果OTP的驗(yàn)證機(jī)制不當(dāng)，任何人都可以通過簡(jiǎn)單的暴力枚舉來繞過它。

為什么我可以繞過2FA？

目標(biāo)系統(tǒng)對(duì)不成功的請(qǐng)求嘗試不作速率限制。

目標(biāo)系統(tǒng)對(duì)不成功的請(qǐng)求嘗試沒有新的動(dòng)態(tài)口令措施。

前提準(zhǔn)備：

Web瀏覽器、BurpSuite。

繞過2FA的復(fù)現(xiàn)過程

繞過2FA的復(fù)現(xiàn)過程

1、開啟BurpSuite，使用手機(jī)號(hào)碼登錄目標(biāo)系統(tǒng)網(wǎng)站，這里，故意輸錯(cuò)系統(tǒng)發(fā)送到你手機(jī)中的動(dòng)態(tài)OTP（這里我們隨便輸入1234），然后用BurpSuite捕獲流量；

從BurpSuite中我們可以看到OTP API的相關(guān)信息 – verifyOTP?otp=：

2、把這次OTP的發(fā)送過程右鍵 Send to intruder：

3、選擇otp=1234占位符，并把它設(shè)置為簡(jiǎn)單暴力枚舉變量方式：

4、選擇Payload標(biāo)簽項(xiàng)，把其修改為任意形式的組合，然后點(diǎn)擊attack：

5、攻擊開始。從枚舉響應(yīng)結(jié)果中，我們可以看到一個(gè)長(zhǎng)度為2250的異常響應(yīng)，不出意外，就是它了：

6、 用該OTP配合登錄，可以成功有效！

相關(guān)教程推薦：web服務(wù)器安全