用户
搜索

该用户从未签到

i春秋-见习白帽

Rank: 3Rank: 3

0

主题

42

帖子

365

魔法币
收听
0
粉丝
0
注册时间
2015-11-25
发表于 2017-5-9 11:49:41 254952
这次众测挖到的一处密码重置,拿出来和大家分享一下,虽然此漏洞官方已修复.但是流程基本没变,有兴趣的可以去体验一下。
存在漏洞链接

https://zzyeb.ly.com/Account/LogOn



因为该网站不提供注册,所以只能找现成的帐号了。
第一步:获取账户
点击忘记密码,结合此处的一个遍历用户帐号的漏洞,成功得到一些账户。

QQ截图20170509114325.png

第二步:开始绕过

同程这里设计初衷还是不错的,你需要自己输入手机号码才能获取验证码
QQ截图20170509114627.png
如果输入不匹配会返回错误

这就有点麻烦了,思考了一会,然后通过获取验证码和确认按钮的两次抓包、修改两次返回包,成功绕过第二步,进入密码修改界面
7854B4BB3A63325D7B84DE02348FAB2B6A13B365.png


第三步:修改失败

想必大家中很多人都进入了密码修改界面,但是如果直接填入密码的话,修改失败,返回如下
37493650F4602DB88C50B340A67AD0FC99F9DE6A.png
重新抓下确认按钮的包发现通过post传递了两个参数,因为已经修复了,没办法截图了所以....
第一个参数就是要提交的新密码
第二个参数很奇怪,如下

                    LastToken=1%2C%E9%AA%8C%E8%AF%81%E7%A0%81%E4%B8%8D%E6%AD%A3%E7%A1%AE%EF%BC%81


看样子是一条经过url编码的消息,解码

                   LastToken=1,验证码不正确!


很明显就是这个参数导致我们重置密码失败了。

第四步:再次绕过

  那么接下来就是看看这个LastToken参数到底是个什么东西了。
  通过一些方法成功获取了一枚帐号和密码,进入个人中心->更改绑定手机号,这里还利用了一个漏洞就是更换绑定手机号的时候没有向原来的手机号认证,直接更换为自己的手机号,退出系统,再次来到密码重置界面,用自己接到的验证码再次来到密码修改界面,因为这次是按照正确流程走的,所以在确认的时候,我们再次抓包,捕获一个正常的LastToken参数:
                  LastToken=76598ff7-425b-4027-b9c9-8127b4e27f16

将LastToken参数复制下来,重新进行上述一二三步,在第三步确认的时候将


                  LastToken=1%2C%E9%AA%8C%E8%AF%81%E7%A0%81%E4%B8%8D%E6%AD%A3%E7%A1%AE%EF%BC%81

修改为
                  LastToken=76598ff7-425b-4027-b9c9-8127b4e27f16


然后放过数据包,成功重置任意帐号密码。LastToken参数的有效期为十分钟左右,在这期间你可以尽情的修改你想修改的账户的密码。

结束:另外如果大家有疑问的话可以私聊我。








评分

参与人数 2积分 +50 魔法币 +250 收起 理由
0nise + 50 + 50 看不到我,看不到我,看不到我~~!.
yyyxy + 200 感谢你的分享,i春秋论坛有你更精彩!.

查看全部评分

首先挖洞最重要的第一步的就是,每天都必做,不然会挖不到漏洞的
就是每天早中晚
就是每天膜拜顶礼膜拜兔几
然后高呼三遍
我已经沉迷兔几不能自拔了
我已经沉迷兔几不能自拔了
我已经沉迷兔几不能自拔了
信兔几得永生
信兔几得永生
信兔几得永生
来啊~快活啊~
使用道具 举报 回复
发表于 2017-5-10 11:22:16
Ycrazy 发表于 2017-5-10 11:02
表哥,请问修改响应包有什么用,用户控制的不是只用请求包吗,而响应包不是再本地通过浏览 ...

burp是可以修改返回包的,如果只做了前端认证就会出问题

评分

参与人数 1魔法币 +2 收起 理由
Ycrazy + 2 欢迎分析讨论交流,i春秋论坛有你更精彩!.

查看全部评分

使用道具 举报 回复
bcwr 发表于 2017-5-10 21:10
"然后通过获取验证码和确认按钮的两次抓包、修改两次返回包,成功绕过"大表哥这里具体是怎么绕过的 ...

同问,根本没理解。。。。
使用道具 举报 回复
发表于 2017-5-10 10:34:29
二哥0219 发表于 2017-5-9 23:11
楼主你好。如何做到修改2次返回包呢。服务器返回的包都能修改吗?这个地方验证码绕过没看明白啊。 ...

burp修改返回包
使用道具 举报 回复
fakl0 发表于 2017-5-10 11:22
burp是可以修改返回包的,如果只做了前端认证就会出问题

谢谢表哥的及时解答,请问前端认证就是指js验证吧
使用道具 举报 回复
发表于 2017-5-10 21:10:03
"然后通过获取验证码和确认按钮的两次抓包、修改两次返回包,成功绕过"大表哥这里具体是怎么绕过的
使用道具 举报 回复
发表于 2017-5-9 15:13:32
谢谢表哥分享
使用道具 举报 回复
这个地方是能改所有人的密码 还是只能改自己的密码?
使用道具 举报 回复
可以 很强势
使用道具 举报 回复
发表于 2017-5-9 15:36:31
表哥66666
使用道具 举报 回复
发表于 2017-5-9 18:02:47
表哥6666
使用道具 举报 回复
发表于 2017-5-9 19:38:19
感谢分享 3Q
使用道具 举报 回复
发表于 2017-5-9 20:15:12
真六,用了各种洞
使用道具 举报 回复
发表于 2017-5-9 23:11:16
楼主你好。如何做到修改2次返回包呢。服务器返回的包都能修改吗?这个地方验证码绕过没看明白啊。
使用道具 举报 回复
发表于 2017-5-10 08:48:45
最关键的时刻你就隐藏一笔带过
使用道具 举报 回复
发表于 2017-5-10 08:55:44
厉害啊 我的哥
使用道具 举报 回复
发表于 2017-5-10 10:35:42
pope想 发表于 2017-5-10 08:48
最关键的时刻你就隐藏一笔带过

我觉得我说的够仔细了啊,
使用道具 举报 回复
发表于 2017-5-10 11:02:23
表哥,请问修改响应包有什么用,用户控制的不是只用请求包吗,而响应包不是再本地通过浏览器渲染展示出来了吗
使用道具 举报 回复
里边有注入
使用道具 举报 回复
12下一页
发新帖
您需要登录后才可以回帖 登录 | 立即注册