文章总结： 本文分享了SRC实战中发现的万能验证码漏洞案例。作者在测试某小程序访客预约功能时，发现其包含三要素实名与人脸认证。在短信验证环节，作者未输入真实验证码而是输入1234，发现后端未校验验证码正确性即放行至人脸上传步骤。最终提交包含伪造验证码的请求成功绕过实名认证。本文建议在渗透测试中应打破常规思维尝试非常规输入。 综合评分： 60 文章分类： 渗透测试,SRC活动,实战经验

【SRC实战】万能验证码

原创

渗透测试安全日记 渗透测试安全日记

渗透测试安全日记

2026年4月27日 06:30 广东

在小说阅读器读本章

去阅读

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息、工具等资源而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任!

01 背景

近期在挖掘某SRC时，遇到了一个比较少见的漏洞，如标题所述，“万能验证码”，具体啥情况，详情见实战。

号外号外，免费的睿鉴安全知识库上线了。点击下发链接，福利直达！！

安全知识模块，主要放一些实战的案例，目前已更新五期内容，上新企业SRC专栏后续会持续更新。主要内容如下。

资源中心模块，主要会放一些安全工具，给各位师傅提供一站式下载的渠道，目前已上线20+款工具，主要工具如下。

02 实战过程

通过信息收集，收集到了目标的小程序。在此推荐一波小蓝本，挖掘小程序、公众号、app等智能终端隐藏资产必备哦。

该小程序的功能，主要是用于访客的预约。进入首页后，居然要求进行实名认证，高级了。

进入后，可以看到需要身份证号码等。经过测试，发现这个还是个“真”的认证，会进行三要素验证，确实高级啊，金主有钱。

输入图形验证码，触发发送短信验证。手机上收到的是755xxx。

作者测试时，一般不会按常理出牌，忽略正确的验证码，直接输入1234。bingo，直接可进行下一步。

下一步进行人脸上传功能。

上传人脸后，直接下一步提交，可以看到burp的抓包如下，会将前期的验证码一同放入数据包中，发送给后端进行验证。实名认证成功。拿下万能验证码漏洞。

点到为止了，本次的案例分享结束,提交SRC。

其实渗透测试中，各位师傅也可以大胆的不按照常理出牌，说不定会有想不到的收获。希望对各位师傅有帮助。

如果你也有其他有意思的渗透测试思路，欢迎在评论区分享交流。

往期好文

网络安全人员的金牌证书：为你铺就高薪职业之路

【SRC实战】一文玩转Minio存储桶漏洞挖掘

【SRC实战】IOT漏洞挖掘实战

【SRC实战】实名验证接口滥用漏洞

【SRC实战】支付漏洞实战案例

【SRC实战】通过报错拿下高危漏洞

【SRC实战】简单FUZZ拿下高危漏洞

【SRC实战】RedirectUrl劫持实战

AI大模型“越狱”实战

企业 SRC 低投入，高收益漏洞总结

【SRC实战】任意用户密码重置实战

【SRC实战】记一次越权测试实战

免密登录某后台管理系统实战

安服人应急“薅洞”指南

推荐一款资产筛选工具

【SRC实战】SRC常用的信息收集方法TOP 10

【SRC实战】一次“链式”渗透，从站点A打到站点B

用户账号接管实战，洞穿开发者逻辑

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透测试安全日记 渗透测试安全日记 渗透测试安全日记《【SRC实战】万能验证码》