密碼找回漏洞收集示例

0x01密碼找回邏輯測(cè)試一般流程首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數(shù)據(jù)包分析數(shù)據(jù)包，找到敏感部分分析后臺(tái)找回機(jī)制所采用的驗(yàn)證手段修改數(shù)據(jù)包驗(yàn)證推測(cè)

0x02腦圖0x03詳情用戶(hù)憑證暴力破解四位或者六位的純數(shù)字例子WooYun:當(dāng)當(dāng)網(wǎng)任意用戶(hù)密碼修改漏洞WooYun:微信任意用戶(hù)密碼修改漏洞返回憑證url返回驗(yàn)證碼及token例子WooYun:走秀網(wǎng)秀團(tuán)任意密碼修改缺陷WooYun:天天網(wǎng)任意賬戶(hù)密碼重置（二）密碼找回憑證在頁(yè)面中通過(guò)密保問(wèn)題找回密碼例子WooYun:sohu郵箱任意用戶(hù)密碼重置返回短信驗(yàn)證碼例子WooYun:新浪某站任意用戶(hù)密碼修改（驗(yàn)證碼與取回邏輯設(shè)計(jì)不當(dāng)）郵箱弱token時(shí)間戳的md5例子WooYun:奇虎360任意用戶(hù)密碼修改漏洞用戶(hù)名&服務(wù)器時(shí)間WooYun:中興某網(wǎng)站任意用戶(hù)密碼重置漏洞（經(jīng)典設(shè)計(jì)缺陷案例）用戶(hù)憑證有效性短信驗(yàn)證碼例子WooYun:OPPO手機(jī)重置任意賬戶(hù)密碼（3）WooYun:第二次重置OPPO手機(jī)官網(wǎng)任意賬戶(hù)密碼（秒改）WooYun:OPPO修改任意帳號(hào)密碼郵箱token例子WooYun:身份通任意密碼修改-泄漏大量公民信息重置密碼token例子WooYun:魅族的賬號(hào)系統(tǒng)內(nèi)存在漏洞可導(dǎo)致任意賬戶(hù)的密碼重置重新綁定手機(jī)綁定例子WooYun:網(wǎng)易郵箱可直接修改其他用戶(hù)密碼WooYun:12308可修改任意用戶(hù)密碼郵箱綁定例子WooYun:某彩票設(shè)計(jì)缺陷可修改任意用戶(hù)密碼WooYun:中國(guó)工控網(wǎng)任意用戶(hù)密碼重置漏洞服務(wù)器驗(yàn)證最終提交步驟例子WooYun:攜程旅行網(wǎng)任意老板密碼修改(慶在wooyun第100洞)服務(wù)器驗(yàn)證可控內(nèi)容例子WooYun:AA拼車(chē)網(wǎng)之任意密碼找回2WooYun:四川我要去哪517旅行網(wǎng)重置任意賬號(hào)密碼漏洞服務(wù)器驗(yàn)證驗(yàn)證邏輯為空例子WooYun:某政企使用郵件系統(tǒng)疑似存在通用設(shè)計(jì)問(wèn)題用戶(hù)身份驗(yàn)證賬號(hào)與手機(jī)號(hào)碼的綁定WooYun:上海電信通行證任意密碼重置賬號(hào)與郵箱賬號(hào)的綁定例子WooYun:魅族的賬號(hào)系統(tǒng)內(nèi)存在漏洞可導(dǎo)致任意賬戶(hù)的密碼重置WooYun:和訊網(wǎng)修改任意用戶(hù)密碼漏洞找回步驟跳過(guò)驗(yàn)證步驟、找回方式，直接到設(shè)置新密碼頁(yè)面例子WooYun:OPPO手機(jī)同步密碼隨意修改，短信通訊錄隨意查看WooYun:中國(guó)電信某IDC機(jī)房信息安全管理系統(tǒng)設(shè)計(jì)缺陷致使系統(tǒng)淪陷本地驗(yàn)證在本地驗(yàn)證服務(wù)器的返回信息，確定是否執(zhí)行重置密碼，但是其返回信息是可控的內(nèi)容，或者可以得到的內(nèi)容例子WooYun:看我如何重置樂(lè)峰網(wǎng)供應(yīng)商管理系統(tǒng)任意用戶(hù)密碼（管理員已被重置）WooYun:oppo重置任意用戶(hù)密碼漏洞(4)發(fā)送短信等驗(yàn)證信息的動(dòng)作在本地進(jìn)行，可以通過(guò)修改返回包進(jìn)行控制例子WooYun:OPPO修改任意帳號(hào)密碼-3WooYun:OPPO修改任意帳號(hào)密碼-2注入在找回密碼處存在注入漏洞例子WooYun:用友人力資源管理軟件（e-HR）另一處SQL注入漏洞（通殺所有版本）Token生成token生成可控例子WooYun:天天網(wǎng)任意賬號(hào)密碼重置(非暴力溫柔修改)WooYun:天天網(wǎng)再一次重置任意賬號(hào)密碼(依舊非暴力)注冊(cè)覆蓋注冊(cè)重復(fù)的用戶(hù)名例子WooYun:中鐵快運(yùn)奇葩方式重置任意用戶(hù)密碼(admin用戶(hù)演示)session覆蓋例子WooYun:聚美優(yōu)品任意修改用戶(hù)密碼(非爆破)附腦圖文件：密碼找回漏洞挖掘.zipWooYun:微信任意用戶(hù)密碼修改漏洞同樣問(wèn)題產(chǎn)生在重置用戶(hù)密碼的環(huán)節(jié).

在微信官方的首頁(yè)上發(fā)現(xiàn)新增了如下功能模塊

訪(fǎng)問(wèn)后看到這個(gè)功能.來(lái)了興趣

在這個(gè)頁(yè)面輸入一個(gè)已經(jīng)注冊(cè)了微信的手機(jī)號(hào).

得到如下提示

選擇我已收到驗(yàn)證碼就跳轉(zhuǎn)到一個(gè)修改密碼的頁(yè)面,如下

在這一步抓包.得到如下包文code區(qū)域check=false&phonet=w_password_phone&isemail=0&valuemethod=reset&country=A86&getmethod=web&password=zzzzzz&password2=zzzzzz&verifycode=1234

將包文中的verifycode進(jìn)行重復(fù)提交后發(fā)現(xiàn)會(huì)提示

這樣的話(huà).就要想辦法去突破.

經(jīng)過(guò)一系列嘗試后發(fā)現(xiàn)如果在phone號(hào)碼后面添加不為數(shù)字的字符時(shí),可以繞過(guò)此限制.于是推理出其判斷方法

如果phone嘗試次數(shù)大于閥值,則提示請(qǐng)求過(guò)于頻繁

但在這一步之前沒(méi)有對(duì)phone進(jìn)行提純.所以可以將特殊字符帶入

但在下一步的時(shí)候進(jìn)行了提純.只取了phone中的數(shù)字部分.

然后在取出此號(hào)碼的verifycode進(jìn)行比對(duì).

比對(duì)成功則修改密碼

修改密碼成功.

這個(gè)地方的薄弱環(huán)節(jié)在于微信重置密碼的驗(yàn)證碼為4-5位純數(shù)字.

且數(shù)字范圍在1000-20000之間

也就是說(shuō).我只要嘗試19000次.我用50個(gè)線(xiàn)程發(fā)包.3分鐘即可成功修改一個(gè)密碼.WooYun:走秀網(wǎng)秀團(tuán)任意密碼修改缺陷進(jìn)入秀團(tuán)登陸處，點(diǎn)忘記密碼，選擇手機(jī)號(hào)重設(shè)

/account/repass.php

輸入帳號(hào)的手機(jī)號(hào)碼，點(diǎn)擊獲取驗(yàn)證碼，此時(shí)注意抓包，或是使用firefox的firebug查看請(qǐng)求鏈接，將發(fā)現(xiàn)驗(yàn)證碼出現(xiàn)。。。

直接輸入驗(yàn)證碼即可修改密碼。。。WooYun:sohu郵箱任意用戶(hù)密碼重置可通過(guò)搜狐登錄頁(yè)中的找回密碼功能，再點(diǎn)擊下面的“網(wǎng)上申訴”，在申訴頁(yè)面的源代碼里，不但有密碼提示問(wèn)題，Hide表單里竟然泄露問(wèn)題答案，可獲得任意用戶(hù)修改密碼問(wèn)題答案，從而輕松修改任意用戶(hù)郵箱密碼漏洞證明：圖片是用webmaster@用戶(hù)獲得的信息，當(dāng)然我沒(méi)有修改他的密碼WooYun:新浪某站任意用戶(hù)密碼修改（驗(yàn)證碼與取回邏輯設(shè)計(jì)不當(dāng)）問(wèn)題網(wǎng)站/【新浪二手房】

在主站登錄處點(diǎn)擊登錄

隨后點(diǎn)擊忘記密碼

在/login/findpassword界面輸入用戶(hù)名時(shí)抓包

可以看到返回?cái)?shù)據(jù)中含有該用戶(hù)的手機(jī)號(hào)

通過(guò)解密，得到此用戶(hù)shenzhen的手機(jī)號(hào)為182****7672

在密碼找回處輸入解密后的手機(jī)號(hào)，并點(diǎn)發(fā)送驗(yàn)證碼。再次抓包

可見(jiàn)短信驗(yàn)證碼加密后返回給了瀏覽器，我們解密。得出驗(yàn)證碼為234589。

成功重置密碼漏洞證明：****************************

下面就是有意思的了

通過(guò)幾次測(cè)試，發(fā)現(xiàn)該網(wǎng)站的驗(yàn)證碼程序很有意思。

所有驗(yàn)證碼為6位，且依次每位均比左邊一位大。

比如會(huì)出現(xiàn)123456，但一定不會(huì)出現(xiàn)123465的情況。

重置后的密碼