文章总结： 本文详细演示了利用双因素认证（2FA）中验证码生成与校验分离的逻辑漏洞进行账户入侵的完整渗透测试过程。通过BurpSuite工具修改verify参数指向目标账户carlos，结合验证码爆破技术成功绕过2FA防护，关键发现在于系统未校验验证码请求者与提交者身份一致性。可操作建议包括使用Intruder模块进行000000-999999范围爆破并监控302状态码完成攻击。 综合评分： 78 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,红队

【登录背后的秘密-第五章第三节】一次真实的赏金狩猎：利用验证码生成与校验分离的漏洞拿下账户

原创

升斗安全XiuXiu 升斗安全XiuXiu

升斗安全

2026年4月10日 07:55 广东

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

通过上一篇内容【登录背后的秘密-第五章第二节】2FA利用新思路：跨用户验证风险分析，我们知道了2FA（双因素认证）还可能存在其他可利用的法子。

那今天这篇就来教你如何用Burp Suite钻双因素认证的空子吧：你以为验证码只认主人？改个参数，它就会乖乖去为难别人，然后你一把一把试，试开carlos账号的大门。

好玩又带劲的实操步骤：

第一步：先看看正常的登录长啥样

打开Burp（保持代理开着），用自己的账号正常登录，重点盯着那个 /login2 的请求。

你会看到里面有个叫 verify 的参数，后面跟着你的用户名。这个参数就是告诉系统：“嘿，当前是这个人要过2FA验证”。

第二步：退出自己的账号，别恋战

登录走完流程之后，记得退出账号。我们要换目标了。

第三步：骗系统生成carlos的验证码

去Burp的历史记录里找到 GET /login2 这个请求（就是触发发验证码的那个）。

把它扔到Repeater，把 verify 后面的名字改成 carlos，然后发出去。

这时候系统就傻乎乎地以为carlos要登录，给他生成了一个临时验证码（但carlos本人毫不知情）。

第四步：自己先踩个坑——故意输错验证码

回到浏览器登录页，还是用自己的用户名和密码登录。等它问你验证码的时候，随便打6个数字（比如 000000）提交。

Burp会抓到 POST /login2 请求，这时候里面 verify 还是你的名字，mfa-code 是你刚瞎输的码。

第五步：狸猫换太子——改目标，加爆破点

把这个 POST /login2 请求送到Intruder。

在Intruder里做两件事：

• 把 verify 的值改成 carlos（要爆破的用户账号）
• 给 mfa-code 的值加上payload位置（就是告诉Burp：这里我要试各种数字）

第六步：开始爆破，等那个302

在Payloads里设置验证码范围（一般是000000–999999，或者题目给的已知范围）。

点Start Attack，让它跑。

盯着响应状态码——一旦看到 302 或者响应长度明显不一样，恭喜，说明你猜对carlos的验证码了。

第七步：浏览器收尾，点一下完事

在那条成功的请求上右键 → Request in browser → Copy URL。

把链接粘到浏览器地址栏打开，你就变成carlos了。

点页面上的 “My account”，实验搞定，收工。

这种逻辑漏洞其实挺常见的，看起来像“不可能绕过”，但改个参数就破防了。重点在于巧妙利用中间2FA（双因子验证）的漏洞，就把在只知道用户名，不知道密码和验证码的情况下，直接通过爆破验证码的方式，实现了账号的突破。

想了解更多这种“歪门邪道”但正经好用的挖洞技巧？点个关注，后面我还会分享更多~

要是你跑实验卡在哪一步了，直接评论区问，我手把手帮你调。

觉得文章对你有用，请不要吝啬你的赞，要是能分享给更多同道中人，我更是感谢。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：升斗安全 升斗安全XiuXiu 升斗安全XiuXiu《【登录背后的秘密-第五章第三节】一次真实的赏金狩猎：利用验证码生成与校验分离的漏洞拿下账户》