密碼找回漏洞收集示例

0x01密碼找回邏輯測試一般流程首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數(shù)據(jù)包分析數(shù)據(jù)包，找到敏感部分分析后臺找回機制所采用的驗證手段修改數(shù)據(jù)包驗證推測0x02腦圖t出orga日國院&UIV-2D12-D11-E32Twaoyun.crg=■Bu^s3WwyurkNDHZCd172D=+woo-fun.erg。R聞:為'hODyun-20l2-05620TwrwKun.crg>iBlms>7^^F￥urr20l0-[?5ft21DTwtxjyun.nro>Bugs>Wcoyun-2(J0x02腦圖t出orga日國院&UIV-2D12-D11-E32Twaoyun.crg=■Bu^s3WwyurkNDHZCd172D=+woo-fun.erg。R聞:為'hODyun-20l2-05620TwrwKun.crg>iBlms>7^^F￥urr20l0-[?5ft21DTwtxjyun.nro>Bugs>Wcoyun-2(J1M8140Tturg?EugtpWDOyun-2aiM92313—woo/ufiorg=-Bug;=Wodjun-2fi14-DS027BTwooyun.crg]^Bug;i-Wcc^'un-2Q10-DS2E-32-wi30yLin.crg5EIl^s3Woayun-2Dl5-0SS927■*wco^un.crg>Ougs>Woayun-SDlO-QTBSOflfWMyur-ierg>Blqs>WDcsyun-201D-CJ42J-O->w&a^>iDuga>Wwyur-2010-092036tVi4?yunsrgivEugc5-WaayLin-201"-020532Twiwfun.crgisBug;，MVooyun■"QlthM密150?WDoyun.Drg，[日i_9；=1XToayun-2D13-Q?4242-WDff^un.crg，EIlgs.Woayun-2Dl5-Q95729Twi-MsjLri>Byfis>Wocyun-201fl-MS~flSTWD^unorg>BLge3IVMyur-2D14-035441TVb'ooyun.arg予=ugs，WDoyun-20ID-0SS72C^［占退區(qū)沮佳熱口行一■+WD&yun.crfl>Dugs>Ww/ur?-2D10-06512^事的區(qū)褪的ei;!5網(wǎng)于Tw-soyLVi.Qrgi%Elu日；'>V￥?Dyun-?O12-Ogmmm\◎一芬黑時H更于TwcHsyunerg：=Hug;>Woi^|-un-20-15^D3O2213r*的/1*力?rg>Bygs>Wocyun-2010-053545*＞客-方更工晅蚯于］一內的!'5org>Bugt?Waayun-2D10-OE3DT3[Tw-soyLHarg>E昭r>Vfdopun-2D1(]-02DDS2\■虹利于Tw-ocni'unarg>Bugs>Wao^un-2012-0125721d［，帝三置室至tabun虹于■內的yifigrg>Eugc?Woq^un-2010-07￡20-5Twoavun.^ro>-=ugs>WE^jajn-2C112-08207=frWMyun.Drg;Elu^s.Woa/un-SDl-+rt-iroun.crg>Buga>Woa>un-2D15-C5121B.w&ck^un.DfQ3EiLgs+WiM；injr-2Dl0-063987fwrsxwundtq>IBl口號>WDoyun-2DI4-SQSSS?Tag>Blgg=WMyun-2015-098705Tw-DO3'un0r9>Eugc>m'ao^un-ZOID-DSD4-7S0x03詳情用戶憑證暴力破解四位或者六位的純數(shù)字例子WooYun:當當網(wǎng)任意用戶密碼修改漏洞WooYun:微信任意用戶密碼修改漏洞返回憑證url返回驗證碼及token例子WooYun:走秀網(wǎng)秀團任意密碼修改缺陷WooYun:天天網(wǎng)任意賬戶密碼重置（二）密碼找回憑證在頁面中通過密保問題找回密碼例子WooYun:sohu郵箱任意用戶密碼重置返回短信驗證碼例子WooYun:新浪某站任意用戶密碼修改（驗證碼與取回邏輯設計不當）郵箱弱token時間戳的md5例子WooYun:奇虎360任意用戶密碼修改漏洞用戶名&服務器時間WooYun:中興某網(wǎng)站任意用戶密碼重置漏洞（經(jīng)典設計缺陷案例）用戶憑證有效性短信驗證碼例子WooYun:OPPO手機重置任意賬戶密碼（3）WooYun:第二次重置OPPO手機官網(wǎng)任意賬戶密碼（秒改）WooYun:OPPO修改任意帳號密碼郵箱token例子WooYun:身份通任意密碼修改-泄漏大量公民信息重置密碼token例子WooYun:魅族的賬號系統(tǒng)內存在漏洞可導致任意賬戶的密碼重置重新綁定手機綁定例子WooYun:網(wǎng)易郵箱可直接修改其他用戶密碼WooYun:12308可修改任意用戶密碼郵箱綁定例子WooYun:某彩票設計缺陷可修改任意用戶密碼WooYun:中國工控網(wǎng)任意用戶密碼重置漏洞服務器驗證最終提交步驟例子WooYun:攜程旅行網(wǎng)任意老板密碼修改（慶在wooyun第100洞）服務器驗證可控內容例子WooYun:AA拼車網(wǎng)之任意密碼找回2WooYun:四川我要去哪517旅行網(wǎng)重置任意賬號密碼漏洞服務器驗證驗證邏輯為空例子WooYun:某政企使用郵件系統(tǒng)疑似存在通用設計問題用戶身份驗證賬號與手機號碼的綁定WooYun:上海電信通行證任意密碼重置賬號與郵箱賬號的綁定例子WooYun:魅族的賬號系統(tǒng)內存在漏洞可導致任意賬戶的密碼重置WooYun:和訊網(wǎng)修改任意用戶密碼漏洞找回步驟跳過驗證步驟、找回方式，直接到設置新密碼頁面例子WooYun:OPPO手機同步密碼隨意修改，短信通訊錄隨意查看WooYun:中國電信某IDC機房信息安全管理系統(tǒng)設計缺陷致使系統(tǒng)淪陷本地驗證在本地驗證服務器的返回信息，確定是否執(zhí)行重置密碼，但是其返回信息是可控的內容，或者可以得到的內容例子WooYun:看我如何重置樂峰網(wǎng)供應商管理系統(tǒng)任意用戶密碼（管理員已被重置）WooYun:oppo重置任意用戶密碼漏洞（4）發(fā)送短信等驗證信息的動作在本地進行，可以通過修改返回包進行控制例子WooYun:OPPO修改任意帳號密碼-3WooYun:OPPO修改任意帳號密碼-2注入在找回密碼處存在注入漏洞例子WooYun:用友人力資源管理軟件（e-HR）另一處SQL注入漏洞（通殺所有版本）Token生成token生成可控例子WooYun:天天網(wǎng)任意賬號密碼重置（非暴力溫柔修改）WooYun:天天網(wǎng)再一次重置任意賬號密碼（依舊非暴力）注冊覆蓋注冊重復的用戶名例子WooYun:中鐵快運奇葩方式重置任意用戶密碼（admin用戶演示）session覆蓋例子WooYun:聚美優(yōu)品任意修改用戶密碼（非爆破）附腦圖文件：密碼找回漏洞挖掘.zipWooYun:微信任意用戶密碼修改漏洞同樣問題產(chǎn)生在重置用戶密碼的環(huán)節(jié).在微信官方的首頁上發(fā)現(xiàn)新增了如下功能模塊忘記了微信帳號或密軍號在干機I-不裁徼信試一試在網(wǎng)頁-臂錄徵信訪問后看到這個功能.來了興趣重設微信密碼溫餐提示；如果把使用QQ號注冊微信，您可以直接用QQ號+QQ密西逑錄。如果您便用且?guī)ぷ韵?，想可?：一嘮打果您運噬,排手班號登戲箍弓，或者您的筆引途疑了手機，恁可以使用壬機品互設您的皚門。他用那箱地hr盍鼻善；‘招羽果若的微茜1瞬已經(jīng)綁定了麗箱,您可以粒用已卷證:物足箱均息重設想的密碼wwwwoo^unorg在這個頁面輸入一個已經(jīng)注冊了微信的手機號.得到如下提示

重設微信密碼您的手機將會W倒T帶苣建證碼的擔佶?如果您已曲到短信，請檢查短信中提供的瞼證碼，并進行下一步操作如果您長時間沒有收到短信，請考■試重新獲取短於”重新獲取臉證短信選擇我已收到驗證碼就跳轉到一個修改密碼的頁面,如下重設微信密碼您的手機號86OMBBBBMHO新密碼重要輸人新密碼驗證碼1234在這一步抓包.得到如下包文區(qū)域

check=false&phonet=w_password_phone&isemail=0&valuemethod=reset&country=A86&getmethod=web&password=zzzzzz&password2=zzzzzz&verifycode=1234將包文中的verifycode進行重復提交后發(fā)現(xiàn)會提示卜<!—method:reset<br/>r&tcode:7<br/>—xd\vclass=1Ips_conn><c<h3￡g55二十_匚口門'您的提交請求過于頻繁,請幫國豌MW曲軸肉型切這樣的話.就要想辦法去突破.經(jīng)過一系列嘗試后發(fā)現(xiàn)如果在phone號碼后面添加不為數(shù)字的字符時，可以繞過此限制.于是推理出其判斷方法如果phone嘗試次數(shù)大于閥值，則提示請求過于頻繁但在這一步之前沒有對phone進行提純.所以可以將特殊字符帶入但在下一步的時候進行了提純.只取了phone中的數(shù)字部分.然后在取出此號碼的verifycode進行比對.比對成功則修改密碼resultstargetpositions口曰/loadsoptionsrequestpayloadpayload2status€「「0「timeo..lengthSment1627urs26262004699u▲1620irs26272004692□1629ors2628200—4699—1630prs262920046921031ars203020046991633qts?632200469g1635ets263420046991636rts263620046921627its263620046991630yts2637200匚□5673—1639uts2638200469916+0its263920046921641ots264020046991642pts26412004692939euu1938200□□44960T?requestresponse舊物readers[hexfitmfrenderclass="ps_con'>'(divclass=nleft_con'><imgclass=nico_suc,Tsrc=7zh_CN/htmledition/images/weixin/iccn_￡Licce￡￡ful0c0705.pngn日lt="成功Succeeded"/x/divxd'vdass="nghLcon"><h3class=T,p_conn>您的微，巨陽碼已重iS成功></div></div><div廠I?！?-門ccun■f九一]?>f%*/,■-]i,ff.lIi!；fl10口口—nFf廠[七4Jg—口qrT7in門r1門上▼LiJLaJMIomatchesLM陋骷!■期EH前修改密碼成功.這個地方的薄弱環(huán)節(jié)在于微信重置密碼的驗證碼為4-5位純數(shù)字.且數(shù)字范圍在1000-20000之間也就是說.我只要嘗試19000次.我用50個線程發(fā)包.3分鐘即可成功修改一個密碼.WooYun:走秀網(wǎng)秀團任意密碼修改缺陷進入秀團登陸處，點忘記密碼，選擇手機號重設

/account/repass.php輸入帳號的手機號碼，點擊獲取驗證碼，此時注意抓包，或是使用firefox的firebug查看請求鏈接，將發(fā)現(xiàn)驗證碼出現(xiàn)。。。靜中<>■,HTML.CSS產(chǎn)一口0W_|BBfl：|_Cbol(igthl清除|根持|郎有HTMLCSSJSXHR圉片F(xiàn)lash煤體URL:切時回纜.I岳武松已通串.星面板僦符版的任何諳苗都不會停五示.-htlp:/JtuanKiiLC0iEjBijaDj￡in￡.pjh|>TaiCtio<i=iJMrre5et&mobile=g-^^^—f[■€Hfycode=280J&time二見57124。&843J74「5Z會黃頭信息哨也裳存HTMLJSCNCCMikiS屯包頭惜息ExpiresDate屯包頭惜息ExpiresDatePragmaCadie-<OTtrolContent-TypeTiranster-EncodingTh129Mbl-2C12O￡:02:llGHTIh%國War2C1206:02:11GM：nD-c￡cieiin-EtDre：nD-cache3直接輸入驗證碼即可修改密碼。。。WooYun:sohu郵箱任意用戶密碼重置可通過搜狐登錄頁中的找回密碼功能，再點擊下面的“網(wǎng)上申訴”，在申訴頁面的源代碼里，不但有密碼提示問題，Hide表單里竟然泄露問題答案，可獲得任意用戶修改密碼問題答案，從而輕松修改任意用戶郵箱密碼漏洞證明：搜顆通行證passpD-lscliLj.CDm*I*-!i<~~~15flhu?snV*『?一.「）也，#3也反粘L如出S^rdi收藏態(tài)3-』*Wf，定面世），安全㈤▼工具?*-Ll小.￡i的示miBL算剛1本手機號嗎:量后一汁警榮時iUCdlvJ.o=hmw口aayi一p=r^^FhuELbe”icjeti-3jaSiUgip-olcaT"?lEpijE-lteriritfr3CilLjpp-fItfE*%二iC/dlT>■Cdlv0123??2口31」即i1.赤?!riraMET-s4hu0p-</div><31^cla55-"Mbupp-inpuD-mzaj-gray"><Z-Hr?<div二ojo(xpHQfLs型aLft5s"-ic-h.jps-1ipit-x^^c-iugXD%,ClefE,>c/i±Lt>|a^cih.-jf^=">inpuc-lT-em-cc-jn-iupp-rietD"?C/dlTJ-身斷由i與偽證復E1件期H+法用的「以文件億1結轉化）格式⑼具他a締cdlvia=rSH!-cdlv<divalb5s-w3oti'jpEi"工匚qh-口j-chi￥p-claa.tM1nplJt-ltum-1已工taEijfp-riEfE：?海旭受示問<7dir>.,攫腑通行證■網(wǎng)密申訴?Vmn（iow￡搜狐通行證①輸/通降睡號'②選擇找回方式-3找回密碼密碼提示問題:sohuinfu密碼提示問題:sohuinfu答案;嗡證碼:新密碼:密碼讖認:刷新&忘汜所有密碼俁護信嗡證碼:新密碼:密碼讖認:刷新&忘汜所有密碼俁護信圖片是用webmaster@用戶獲得的信息，當然我沒有修改他的密碼WooYun:新浪某站任意用戶密碼修改（驗證碼與取回邏輯設計不當）問題網(wǎng)站/【新浪二手房】在主站登錄處點擊登錄聲I金白青設為H百靜。新浪二手房新房麟詢房產(chǎn)經(jīng)紀人認證唐大聯(lián)展火朋諧斤中Isauiis；rts愉mt電也emwB陋隨后點擊忘記密碼在/login/findpassword界面輸入用戶名時抓包可以看到返回數(shù)據(jù)中含有該用戶的手機號通過解密，得到此用戶shenzhen的手機號為182****7672在密碼找回處輸入解密后的手機號，并點發(fā)送驗證碼。再次抓包TilgtoQ4儂證】*電brokeriH任加53n~L5〃i3g；iV11nrfpa$%wardnorwardlnl￡「ce肌佰。n■183HMT672￡動且最好箭手上國E二建僅同拈=；同更快衣窿DffiTaken含EaayADSfna新浪二手房雪就L?看卜■;i7rf^+Jij-A,burp“top?Til>F5,MH-ial￥1407-licvmcdhsDrskorfliu勺urpinlrudarmpsaJar-Nindawaiiout也igHF聲叫spidtarT￡tannorIinbudkrznapnaiIKrTTi-11.1200OP：Sarwt!叫1力乂Date;Fri,26Nov201409;2fi;31GftTConx-enc-Typer匕曰tFhtmlCohue：ci：lainkEep-allveVary:Acrcept-EDcradliig'iKpites!Tiru-LBWav19B103-EZlDO行WTPraepa!m-uau打口Cache-DDntrol;private^uuat-rcDslid-st-earr^id;3ZY-id;47,ZaiiT-euc-Leng^bi32InlerceplopBons找回密碼shenzfienX期窗科港w.灰面J5<]*adle€5ti?b￡。覦。三匕31)92%。1可見短信驗證碼加密后返回給了瀏覽器，我們解密。得出驗證碼為234589。成功重置密碼漏洞證明：下面就是有意思的了通過幾次測試，發(fā)現(xiàn)該網(wǎng)站的驗證碼程序很有意思。所有驗證碼為6位，且依