前言:
之前参加一家企业SRC挖洞,正赶上厂商搞活动,秉着有活动我就参加,有漏洞我就捡的良好心态,就去看了一下该企业的一些资产,因为活动是按漏洞危害等级给奖励,所以找一些边缘资产参加活动严重也能给1w也是很香的
正文
随便点了几个站点,发现该企业下已经资产登录、重置密码等功能都是同一套代码,感觉出洞的几率很小,都被大师傅们轮了好几十遍了吧(侥幸心理,但还是建议大家多尝试),厂家可能是用了单点登录,或者提高代码复用性比较核心的登录等功能走同一接口,为了提高挖洞效率,果断放弃了,点到一处资产,发现登录是单独的一套,引起了我的兴趣,下面进行任意密码重置漏洞的思路剖析。
<1>可以看到,该系统重置密码功能分四步完成,第一步是填写账号,系统去判断该账号是否存在系统,没啥好说的
<2>第二步才是重点,是身份的校验,就是基于第一步判断了用户是注册过的,使用手机号进行身份校验,证明该账号就是你的账号,有的系统使用邮箱、***号等类似,点击发送验证码之后,填写正确的验证码就进行服务端验证,验证成功后服务器响应中带一个result随机33位随机数,经过多次尝试发现该值每次获取验证码都会变化,所以可以推算出,下个验证请求会带着这个result值去服务端验证,但是这个地方存在一处缺陷就是,成功通过验证码返回给前端的result值未进行对账号绑定,只是单单对这个验证成功后的result做了服务器缓存处理。
<3>上面就是服务端给你的钥匙(result)是把****,没有给你配好锁(手机号),所以我就可以用自己的手机号去获取可以使用的result(钥匙),然后去开别人家的锁(手机号),以此达到任意密码重置的目的
细节补充:可以通过修改或直接替换响应来绕过前端对验证码的判断,进到第三步重置密码页面
总结
捡了个严重,又像是没捡,此次是之前总结重置密码思路的其中一种,还请大师傅们多多提出宝贵意见,点点赞。
该贴来源火线Zone:https://zone.huoxian.cn/d/517
本文作者:火线安全平台
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/167002.html