WooYun.org

漏洞网站: http://esales.sdo.com/
漏洞页面：
http://esales.sdo.com/Register/MobileRegister.aspx

漏洞描述:
在使用手机号注册时，会发送一条验证码，它先回检查用户是否已经注册，然后再从客户端生成验证码短信内容，发送到服务器端由服务器端调用短信接口把传给服务端的验证码内容作为验证码内容的一部分发给指定的用户手机.
漏洞重现：
填入手机号，点击免费获取手机验证码，抓包的到：
Ajax判断是否已被注册：

放行进入下一步：

看到这里，发包中出现的Message很好奇：于是把内容考出来，然后Forward放行！

%25E6%2582%25A8%25E7%2594%25B3%25E8%25AF%25B7%25E7%2594%25A8%25E6%259C%25AC%25E6%259C%25BA%25E5%258F%25B7%25E7%25A0%2581%25E6%25B3%25A8%25E5%2586%258C%25E6%2598%2593%25E5%2594%25AE%25E8%25B4%25A6%25E5%258F%25B7%25EF%25BC%258C%25E6%25B3%25A8%25E5%2586%258C%25E9%25AA%258C%25E8%25AF%2581%25E7%25A0%2581%25E6%2598%25AF%257B0%257D%25EF%25BC%258C120%25E7%25A7%2592%25E5%2586%2585%25E6%259C%2589%25E6%2595%2588%25E3%2580%2582

明白人一看就知道这是URL编码的效果,于是打开站长工具：
第一次URL解码:

第二次解码：

同时这个时候手机响了！
看一下验证短信内容：

惊人的相似啊，{0} 被服务器替换成了你的验证码了！
现在我们来测试来一发！
我们来发一个内容为：盛大威武!乌云威武!--by cf_hb
我们需要进行2次URL编码：
最后的到替换内容：

%25e7%259b%259b%25e5%25a4%25a7%25e5%25a8%2581%25e6%25ad%25a6!%25e4%25b9%258c%25e4%25ba%2591%25e5%25a8%2581%25e6%25ad%25a6!--by%2bcf_hb

Burpsuite下测试，替换我们的内容：

短信又响了，看看的到的短信：

测试成功了，我们可以自定义验证码短信内容了！
可能的利用：
1.小伙伴说可以伪装成盛大游戏官网对用户进行社工.诱导指定的用户进入钓鱼网站骗各种账号信息.
2.小伙伴说可以找女神约炮.
3.小伙伴说可以替别人打广告.
4.我说小伙伴说的那些利用都是可以的!