文章总结： 本文提供了渗透测试中针对短信验证码轰炸漏洞的测试检查表，详细介绍了Repeater重放、SMS_Bomb_Fuzzer插件绕过以及TurboIntruder并发三种测试方法的具体步骤与应用场景。文章指出漏洞危害程度依次递减，并建议测试者优先提交危害较高的漏洞类型，待修复后再尝试其他利用方式，以提升挖掘效率与收益。 综合评分： 80 文章分类： 渗透测试,WEB安全,漏洞POC,安全工具

登录框短信轰炸checklist

原创

游山玩水 游山玩水

山水SRC

2026年2月15日 14:06 河南

概述

本文讲解了在渗透测试中遇到短信验证码时进行测试短信轰炸的checklist（检查表单）

repeater模块一直重放

测试方法

burpsuite抓取到的会发送验证码的数据包（这个数据包放包后就会发送验证码）发送到repeater模块一直重放

SMS_Bomb_Fuzzer进行绕过

使用bp插件SMS_Bomb_Fuzzer进行绕过（一分钟15条以上验证码算漏洞）

插件地址：https://github.com/yuziiiiiiiiii/SMS_Bomb_Fuzzer/

使用方法：寻找到请求包包含手机号且该数据包放包后手机会收到验证码

将用于发送短信的数据包右键请求内容 → “Extensions” → “SMS Bomb Fuzzer” → “Send to SMS Bomb Fuzzer”

点击后选择要fuzz的手机号点击确定（就会对手机号尝试各种绕过方法）

点击插件观察响应长度和响应码看是否成功（寻找和发送成功相同的）

并发turbo-intruder-all

并发turbo-intruder-all插件

并发短信轰炸漏洞测试的核心是”在同一时间发送大量相似的请求”

那“相似请求”和“变化参数”用在什么时候？

当您需要测试其他维度的限制时，就需要构造“相似但不同”的请求。

• 测试IP限制：您需要在请求头（如 X-Forwarded-For）或源IP上设置Payload，让每个请求看起来来自不同的IP，以绕过单IP频率限制。

• 测试Token或会话限制：您需要先获取一批有效的Token或会话Cookie，然后在并发请求中使用不同的Token，模拟多个“合法用户”同时行动。

  相似的请求的测试方法目前没有进行实践，但理论给出有能力的可以试试（使用的脚本就不是下面的，使用的是带能输入字典地址的脚本）

我看了很多文章使用的turbo-intruder-all都是在想同时间内发送大量相同的请求,更聚焦于竞争条件漏洞，举个例子就是：100个人（100个并发线程）在同一毫秒内，拿着同一个人的身份证（同一个手机号），去同一个办事窗口要求办理业务。

该漏洞的测试步骤：

1.将发送手机号验证码的数据包发送到turbo-intruder-all插件

2.在数据包位置添加X: %s，%s类似于bp的intruder模块里面的§s§，必须有插件会检测，不然跑不起来

选择race.py的脚本

点击攻击

效果图

总结

漏洞危害repeater重放>turbo-intruder-all>SMS_Bomb_Fuzzerr绕过

如果同时发现三个其中的两个以上，先交危害高的，让他修了再试试交别的

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《登录框短信轰炸checklist》