0x00 准备

环境：VMware

IP：192.168.1.6

系统：windows 2008 R2

WEB：PHPCMS V9.63

工具：Burp Suite

0x01 复现

1、部署网站准备

将 PHPCMS 安装包解压到 phpstudy 的网站根目录下。



访问站点 ip：192.168.1.6，安装 phpcms。

进入后台。



生成首页。完成部署。



2、利用

在后台存在验证码。

后台地址：http://192.168.1.6/index.php?m=admin&c=index&a=login



验证码生成 URL：


http://192.168.1.6/api.php?op=checkcode&code_len=4&font_size=20&width=130&height=height=50&font_color=&background=


观察 URL 中参数在code_len=、font_size=、 width=、height=

测试可以控制图片的宽、高、字符大小、生成字母个数。

如果验证码发生了大小改变，比如变大，服务器生成验证码会变大，相对来说更占用 CPU 或者内存，因为是正常的请求验证码，相当于 CC 攻击，最终可能造成服务器反应变慢或者崩溃。

测试找到服务器承受的阀值：
code_len=最大为 8。



当code_len=9 时，验证码变为 4 位。



宽和高大概为 100000.

测试了下改变 URL 中的参数，


http://192.168.1.6/api.php?op=checkcode&code_len=9&font_size=666&width=400000&height=400000&font_color=&background=


字符大小 666，宽高 40W。







9000 多 byte。

利用 burp 的爆破功能尝试多次发送数据包，看服务器的状态变化。

还没有用 burp 发包虚拟机已经崩了卡死，刚才大概刷新了五次。



先在包里随便找个不影响的参数当变量。

这次宽高设置 20W。



设置攻击载荷数字型控制。



从 1 到 50 增量为 1 测试五十个包。

线程设置二十的效果如下。



0X02 总结

其实第一次挖掘到验证码爆破的漏洞是在补天某公益SRC上面，当时学习的是花肉师傅的教材，今天突然看到咖啡大佬的漏洞复现，心急的就转载过来，没有任何的瑕疵。但是最后总结一下，可能实际能造成很高危害的影响，对于服务器DDOS这种危害，但是总体来说，提交漏洞，一般是不给过的，因为没办法获取到服务器权限，没办法去验证，所以说，遇到这类问题，自己明白理解就好了。我尝试着每篇文章都放置一个表情包，目的是让在苦逼的学习中，能认识到，学习到更多的东西，加一点娱乐，往往能让人开心一整天。



转载请注明：Adminxe's Blog » 验证码参数可控造成的 DDOS 攻击漏洞

双向可控硅参数符号及好坏判断
双向可控硅参数符号
IT(AV)--通态平均电流
VRRM--反向反复峰值电压
IDRM--断态重复峰值电流
ITSM--通态一个周波不反复浪涌电流
VTM--通态峰值电压
IGT--门极触发电流
VGT--门极触发电压
IH--维持电流
dv/dt--断态电压临界上升率
di/dt--通态电流临界上升率
Rthjc--结壳热阻
VISO--模块绝缘电压
Tjm--额定结温
VDRM--通态反复峰值电压
IRRM--反向重复峰值电流
IF(AV)--正向平均电流
双向可控硅好坏判断
可控硅的检测
1.单向可控硅的检测
万用表选用电阻R×1档，用红黑两表笔分别测任意两引脚间正反向电阻直至找出读数为数十欧姆的一对引脚，此时黑笔接的引脚为控制极G，红笔接的引脚为阴极K，另一空脚为阳极A。此时将黑表笔接已判断了的阳极A，红表笔仍接阴极K。此时万用表指针应不动。用短接线瞬间短接阳极A和控制极G，此时万用表指针应向右偏转，阻值读数为10欧姆左右。如阳极A接黑表笔，阴极K接红表笔时，万用表指针发生偏转，说明该单向可控硅已击穿损坏。
2.双向可控硅的检测
用万用表电阻R×1档，用红黑两表笔分别测任意两引脚正反向电阻，结果其中两组读数为无穷大。若一组为数十欧姆时，该组红黑表笔所接的两引脚为第一阳极A1和控制极G，另一空脚即为第二阳极A2。确定A、G极后，再仔细测量A1、G极间正反向电阻，读数相对较小的那次测量的黑表笔所接的引脚为第一阳极A1，红表笔所接引脚为控制极G。将黑表笔接已确定了的第二阳极A2，红表笔接第一阳极A1，此时万用表指针应不发生偏转，阻值为无穷大。再用短接线将A2、G极瞬间短接，给G极加上正向触发电压，A2、A1间阻值约为10欧姆左右。随后断开A2、G极短接线，万用表读数应保持10欧姆左右。互换红黑表笔接线，红表笔接第二阳极A2，黑表笔接第一阳极A1。同样万用表指针应不发生偏转，阻值为无穷大。用短接线将A2、G极间再次瞬间短接，给G极加上负向的触发电压，A1、A2间阻值也是10欧姆左右。随后断开A2、G极间短接线，万用表读数应不变，保持10欧姆左右。符合以上规律，说明被测双向可控硅管未损坏且三个引脚极性判断正确。
检测较大功率可控硅管是地，需要在万用表黑笔中串接一节1.5V干电池，以提高触发电压。(仅供参考)

1．正向阻断峰值电压(VPFU) 

是指在控制极开路及正向阻断条件下，可以重复加在器件上的正向电压的峰值。此电压规定为正向转折电压值的80％。

2．反向阻断峰值电压(VPRU) 

它是指在控制极断路和额定结温度下，可以重复加在器件上的反向电压的峰值。此电压规定为最高反向测试电压值的80％。

3．额定正向平均电流(IF) 

在环境温度为+40C时，器件导通(标准散热条件)可连续通过工频(即指供电网供给的电源频率．一般为50Hz或60Hz，我国规定为50Hz)正弦半波电流的平均值。

4．正向平均压降(UF) 

在规定的条件下，器件通以额定正向平均电流时，在阳极与阴极之间电压降的平均值。

5．维持电流(IH) 

在控制极断开时，器件保持导通状态所必需的最小正向电流。

6．控制极触发电流(Ig) 

阳极与阴极之间加直流6V电压时，使可控硅完全导通所必需的最小控制极直流电流。 

7．控制极触发电压(Ug) 

是指从阻断转变为导通状态时控制极上所加的最小直流电压。

原创： Jackie Long

转自:https://www.cnblogs.com/sunshine-jackie/p/8137469.html

可控硅全称“可控硅整流元件”（Silicon Controlled Rectifier），简写为SCR，别名晶体闸流管（Thyristor），是一种具有三个PN结、四层结构的大功率半导体器件。可控硅体积小、结构简单、功能强，可起到变频、整流、逆变、无触点开关等多种作用，因此现已被广泛应用于各种电子产品中，如调光灯、摄像机、无线电遥控、组合音响等。

其原理图符号如下图所示：



从可控硅的电路符号可以看到，它和二极管一样是一种单方向导电的器件，只是多了一个控制极G，正是它使得可控硅具有与二极管完全不同的工作特性。可控硅是可以处理耐高压、大电流的大功率器件，随着设计技术和制造技术的进步，越来越大容量化 

可控硅的基本结构如下图所示：



三个PN结（J1、J2、J3）组成4层P1-N1-P2-N2结构的半导体器件对外有三个电极，由最外层P型半导体材料引出的电极作为阳极A，由中间的P型半导体材料引出的电极称为控制极G，由最外层的N型半导体材料引出的电极称为阴极K，它可以等效成如图所示的两只三极管电路。

下面我们来看看可控硅的工作原理：

如下图所示，初始状态下，电压VAK施加到可控硅的A、K两个端，此时三极管Q1与Q2都处于截止状态，两者地盘互不侵犯。



此时VAK电压全部施加到A、K两极之间，这个允许施加的最大电压VAK即断态重复峰值电压VDRM（Peak Repetitive  Off-State Voltage），相应的有断态重复峰值电流IDRM（Peak Repetitive Off-State Current）

如下图所示，电压VGK施加到G、K两极后，Q2的发射结因正向偏置而使其导通，从而产生了基极电流IB2，此时Q2尚处于截止状态，可控硅阳极电流IA为0，Q1的基极电流IB1也为0，电阻R2上也没有压降，因此Q2的集电极-发射电压VCE2为VAK，这个电压值通常远大于VBE2，即使是在测试数据手册中的参数时，VAK也至少有6V，实际应用时VAK会有几百伏，因此，三极管Q2的发射结正偏、集电结反偏，开始处于放大状态。



 只有在G、K加上正向电压后，才可以触发可控硅的导通，这个触发电压的最小值称为门极触发电压VGT（Gate Trigger Voltage），这个值就是一个PN结的结电压（不是电池电压VGK），此时流过控制极的电流称为门极触发电流IGT（Gate Trigger Voltage）



刚刚进入放大状态（微导通）的三极管Q2将基极电流IB2进行放大，相应集电极的电流为IC2，其值为（IB2×β2），尽管放大了β2倍，但此时的IC2还比较小，因此IA与IB1也比较小（但是已经不为0了），电阻R2中也有微小电流，可以看成一个完整的电流回路，但此时的Q2的集电极-发射极压降仍然很大。



与此同时，三极管Q1的发射极一直是VAK（最高电压），集电极一直是较低的电压（VBE2），只要基极设置合适的电压，就可以进入放大状态，所以一直卧薪尝胆、蛰伏待机。Q2集电极电流IC2的出现，使得三极管Q1有机可乘。

处于微导通状态的三极管Q2形成的回路使三极管Q1基极所欠缺的电压一步到位，时机终于成熟了，三极管Q1也因此刚刚进入放大状态（微导通）！由于IB1与IC2是相同的，IB1经Q1放大后，其集电极电流IC1=（IB2×β2×β1），这个电流值又比IC2增大了β1倍。



三极管Q1放大后的集电极电流IC1无处可逃，只好往Q2的基极去钻（不会跑到电阻R1这边来，因为电压VGK肯定比VBE2要高，水往低处走），IC1就变成了IB2，三极管Q2的基极电流IB2被替换成了（IB2×β2×β1），比原来增加了（β2×β1）倍。

所谓人多好办事，这个更大的基极电流IB2第二次被三极管Q2放大，此时的IC2就是（IB2×β2×β1×β2），然后又重复被两个三极管交互进行正反馈放大，周而复始。

在这个过程中，三极管Q2的集电极-发射极压降越来越小，阳极电流IA的电流也越来越大，最终Q2饱和了（Q1也不甘示弱，节奏妥妥地跟上），最后就成为下图所示的：



当Q1与Q2充分导通后（可控硅导通），A、K两极之间的压降很小，其实就是Q1发射结电压VBE1 + Q2集电极-发射极饱和电压VCE2，这个电压称为正向通态电压VTM（Forward On-State Voltage）

可以看到，VAK的电压值最终全部加到电阻R2上面，整个过程就是由电压VGK引发的“血案”，原来R2电阻上没有任何压降，VGK电压触发可控硅后，VAK电压就全部加在电阻R2上面了。

可控硅完全导通后，流过A、K两极的电流即为通态电流IT（On-State Current），实际应用时，VAK通常是交流电压（如220VAC），因此常将此参数标记为通态平均电流IT（RMS），指可控硅元件可以连续通过的工频正弦半波电流（在一个周期内）的平均值，而此时流过G、K两极的电流即为门极电流IG（Gate Current），这个门极控制电流不应超过门极最大峰值电流IGM（Forward Peak Gate Voltage）

当VAK是交流电源的负半周时，可控硅因为A、K两极加反向电压而阻断，此时允许施加的最大电压称为反向重复峰值电压VRRM（Peak Repetitive Reverse Blocking Voltage），由于可控硅阻断时的电阻不是无穷大，此时的电流称之为反向重复峰值电流IRRM（Peak Repetitive Reverse Blocking Current）。

这两个值与之前介绍的IDRM、VDRM是一样的，只不过IDRM、VDRM是在控制G极断开、可控硅阻断状态下测量的，而IRRM、VRRM是在可控硅A、K极接反向电压下测量的。

如果在可控硅阳极A与阴极K间加上反向电压时，开始可控硅处于反向阻断状态，只有很小的反向漏电流流过。当反向电压增大到某一数值时，反向漏电流急剧增大，这时，所对应的电压称为反向不重复峰值电压VRSM（Peak Non-Repetitive Surge Voltage）。

上面我们只是把R2（与R1）作为象征性的限流电阻，其实R2完全可以是负载，如电灯泡，如下图所示：



当G、K两极没有加正向电压时，A、K之间相当于是断开的，灯泡不亮



当G、K加上正向电压后，A、K之间相当于短路，所以VAK电压全部加在电灯泡上使其发光。

由地盘之争引发的“血案”就此完结！

但是还有下文哦！

如果在A、K之间充分导通后，我们拿掉电压VGK企图让灯泡熄灭，如下所示：



很遗憾，没有成功，灯泡还是一往无前地发射出嘲笑我们的刺眼光芒，因为这个时候VGK已经没有利用价值了，尽管没有VGK，可控硅内部还是会有三极管电流正反馈维持可控硅的继续导通。

在门极G开路时，要保持可控硅能处于导通状态所必须的最小正向电流，称为维持电流IH（Holding current）。还有一个擎住电流IL（Latch current），是可控硅刚从断态转入通态并移除G极触发信号后，能维持导通所需的最小电流。对于同一可控硅，通常IL约为IH的数倍。

导演，我没看懂这两者有什么区别！其实这与数字电路中的电平是相似的，如下图所示：



如果一个低电平要让另一方认为是高电平，那必须要超过VOH（上图的4.5V），一旦这个低电平变成了高电平，继续让另一方认为是高电平，只需要不低于VIH（上图的3.5V）即可，维持这个高电平的代价显示更低一些。

那么有什么办法让电灯泡灭呢？

有一种办法很明显，就是使电流IA下降到不足以维持内部正反馈过程，可控硅自然就阻断了，灯泡也会随之熄灭，也就是把VAK电压降下来。这个地球人都知道，你VAK虽然是大BOSS，但让我为你开路总得留下点买路钱吧！只要降低电压VAK让IA小于IH，那么可控硅就断开了（或在A、K两极加反向电压，其实这与降低电压VAK是一个道理）。

但问题是，大多数时候VAK的电压不会那么容易（主动）下降，我帮主当得好好的，凭什么让我下台？老子有的是钱！

狡兔死，走狗烹，电压VGK深谙其中道理，也早早从“门极关断可控硅”手中重金买下简单的办法让灯泡熄灭。你丫的，我给你立下汗马功劳不让我当帮主，只有拆你的台了。如下图所示：



将电压VGK反向接入G、K两极后，想让三极管Q2截止继而让可控硅进入阻断状态，但还是无法成功，因为可控硅导通后处于深度饱和状态，就算加反向电压也是无效的。

如果反向电压增大到某一数值时，反向漏电流急剧增大，此时所对应的电压称为反向门极峰值电压IGM（Reverse Peak Gate Voltage），使用时不应超过此值。

上面我们讨论的是常用的P型门极、阴极端受控的可控硅，还有一种不常用的N型门极、阳极端受控的可控硅，其原理图符号如下图所示，两者的原理是完全一样的，读者可自行分析一下。



下图的典型可控硅应用电路，可以用来调节灯泡的亮度。电路输入的220V交流电压经桥式整流后得到脉冲直流电压VP，此时可控硅VT为阻断状态，电路是不导通的；



随着脉冲直流电压VP通过可调电阻RP1、R1对电容C1进行充电，当电容C1上的电压足以触发可控硅VT时，可控硅导通后负载回路畅通，从而使电灯泡点亮，如下图所示：



调节可调电位器RP1即可控制电容C1的充电速度（充电常数越大充电速度越慢），这样施加在灯泡上的交流电压的平均值就可以随之调整，从而调节电灯泡的高度。



 

 原文在这