「猜想」之手机截断之短信轰炸

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-04-22 09:37

喜欢玩电话的机油们可能会发现,

拨打13748185006和拨打13748185006123498127348819734890是一样的,

短信也是同样的(两年前测试的,不知道现在)。

那么有些网站接口未限制手机号位数,每次发送一次短信就加入临时黑名单1分钟,1分钟后解封才可继续发。

那么既然提交13748185006无法了,那么提交13748185006123 , 137481850061232 ………… 1374818500632578123904。

是否可以呢?求国内机油测试。

[原文地址]

相关内容:

短信炸弹:短信轰炸那些事(如何防止猥琐男如何骚扰妹子)

为什么诈骗短信看上去那么弱智?

探秘短信马产业链-从逆向到爆菊

您的工商银行电子密码器将于次日失效?伪基站垃圾短信,网银钓鱼诈骗!

伪基站是怎么定位的呢?定位并抓捕伪基站、圈地短信、垃圾短信犯罪团伙!

【讨论】伪基站、圈地短信设备是怎么做出来的?

[预警+狗血] 伪造任何手机号码向任意号码发送任意短信 - 如果我们被运营商卖了

怪异!10086短信接口泄露?10086发博彩、赌博短信

市民1天遭10086发4万条相同短信 移动称无法取消

短信炸弹,短信轰炸,利用各大网站的验证码功能批量轰炸某个号码

病患信息遭泄露 骗子假扮医生短信要红包

“伪基站”任意冒用手机号短信诈骗

GNU Radio USRP OpenBTS 小区短信 区域短信

一种牛逼的短信群发技术 GNU Radio 小区短信 区域短信 免费发 无法拦截

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

如果大量短信攻击会不会造成拒绝服务,导致手机接不进电话?

巨型吸钱僵尸网络 下载软件暗藏“扣费陷阱”:屏蔽扣费反馈短信

银行短信服务竟让骗子钻空

美企业家发明手机程序 一键清除偷情短信

iPhone 短信欺骗漏洞攻击器、伪造短信号码工具、伪装发件人攻击器

Never trust SMS: iOS text spoofing,永远不要相信短信:iOS的文字欺骗

iPhone 短信欺骗漏洞披露,伪造短信号码、自定义短信手机号

支付宝错发中奖短信 送236台iPad2

男子侵入上海移动平台群发广告短信牟利获刑

浙江绍兴一犯罪团伙用网银漏洞诈骗三百余万获刑

黑客曝联通“10010短信”漏洞 被指易遭诈骗利用

相关讨论:

1#

漂流瓶 (http://cmd5.cc/) | 2014-04-22 09:38

这是被运营商加入黑名单么

2#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-22 09:52

这方法好猥琐……

3#

梧桐雨 (‮ofni.uygnotuw‮) | 2014-04-22 10:04

好思路

4#

李旭敏 ((҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉) | 2014-04-22 10:12

应该是含有黑名单里面数字都会被屏蔽把···比如拉黑了13800138000.那么13800138000123123123也会被拉黑把应该

5#

易水寒 | 2014-04-22 10:13

多年前,我无聊的拨打了1234567890,通了,有人接,我吓尿了。

6#

xsser (十根阳具有长短!!) | 2014-04-22 10:13

牛逼大了

7#

苦战 | 2014-04-22 10:23

不错的思路

8#

斯文的鸡蛋 (顿时我就傻逼了) | 2014-04-22 10:29

不知道会不会有限制啊

9#

zzR (你说我不能笑- -!) | 2014-04-22 10:38

为什么会这样啊!!

10#

vipons () | 2014-04-22 10:58

@易水寒 亲你拨打的是市长热线

11#

肉肉 | 2014-04-22 11:24

如果接口没有对输入做限制的话应该是可行的吧

12#

wefgod (求大牛指点) | 2014-04-22 11:33

卧槽,很不错!

13#

wefgod (求大牛指点) | 2014-04-22 11:35

我去?我手机不行,刚测试用手机直接发

14#

0x_Jin (世上人多心不齐) | 2014-04-22 11:36

不行 我测试了 我刚才发条信息出去 多加了几位在最后 我朋友没收到信息。。 我的是联通

15#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-04-22 11:40

@wefgod @0x_Jin 貌似修复?打电话呢?

16#

Fakehac | 2014-04-22 11:42

如果没什么大的限制,那就是说也可以x了。

17#

小威 (呵呵复呵呵,女神敲回车!) | 2014-04-22 13:06

这个试过,还有个符号是& 因为网站发包时候通常使用&符号作为衔接符的,所以这个默认没有数量限制。

因为这个孩提交过漏洞,但是没被审核通过!

http://client.3g.****.com/http/pgservice.jsp?dst=这里是手机号码&messagename=sentmessage&product=soufunbang&time=0.9652428204202439

包的内容,手机号码与后面messagename中间有个衔接符号“&”。 发包时此符号被过滤默认成为衔接字符。 然后我们在手机号码后加个&再点发送! 抓包: http://client.3g.****.com/http/pgservice.jsp?dst=这里是手机号%26&messagename=sentmessage&product=soufunbang&time=0.9652428204202439 这里“&”被过滤成了%26 当作了默认的衔接字符! 所以就形成了循环无限次数!

18#

YangCL | 2014-04-22 13:11

您的号码有误!

19#

cddevils | 2014-04-22 14:18

多找点接口来调用就好了 百度一下大把

20#

0x_Jin (世上人多心不齐) | 2014-04-22 14:46

@safe121 打电话 如果随便加123456789的话 会说是空号 如果在手机号码后面加123498127348819734890 会直接挂断 不会拨出去 我的Note3 联通 3G

21#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-04-22 14:49

@0x_Jin 好奇怪~看来已经修复了?

22#

_Evil (尘俗当中有太多人 相识过爱不到) | 2014-04-22 15:31

@小威 Good job

23#

xsser (十根阳具有长短!!) | 2014-04-22 15:37

@小威 地址能说下么 这个案例还是不错的 可能当时认为是短信轰炸就没过? @Finger @疯狗

24#

小威 (呵呵复呵呵,女神敲回车!) | 2014-04-22 16:34

http://wooyun.org/bugs/wooyun-2014-054716/trace/51d8e1cdee873ad048c27b8789cfc836 @xsser

25#

Kuuki | 2014-04-22 17:41

找了个api在手机号后面加1或&试了一下,都不行

找了个api在手机号后面加1或&试了一下,都不行

26#

好人 (您已犯破坏计算机信息系统罪,请跟我们走一趟。) | 2014-04-22 18:40

移动的失败

27#

xiaoL (http://www.xlixli.net) | 2014-04-24 12:28

站点可以存在这样的问题

之前那个微信修改密码不就是运用在手机号后面加字符来突破限制的...