一个有趣的任意密码重置漏洞
2023-4-13 08:31:27 Author: 潇湘信安(查看原文) 阅读量:23 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

前言

ASRC搞了个八周年庆,又来了一个交漏洞送衣服的活动。通过以前挖洞的经验,感觉某个业务细一点挖应该还是有洞的,就回去炒老饭了。

正文

登入处抓包,发现这里存在一个账号枚举,发现通过爆破不同的username,即通过遍历手机号码得知该手机号码是否在该业务上注册过。

  • 未注册时

  • 注册过时

这个业务点还可以通过手机号码接收验证码登入,因为存在60s才能发送一次的限制所以没有短信轰炸。

但是可以通过抓这个发送验证码的包,可以造成一个横向的短信轰炸。

这里的测试是否可以通过xff头等绕过短信发送频率限制的插件是coolcat师傅写的burpFakeIP

https://github.com/TheKingOfDuck/burpFakeIP

这里收到的验证码为4位数,然后每个验证码可以使用3次,还是存在一定爆破的可能性,相当于可以任意登入账户,或者先枚举一些用户,然后再批量随机爆破验证码。

一个burp intruder跑发送验证码的,比如一个跑1371234XXXX;
一个burp intruder跑验证验证码的,然后这个跑验证码为任意一个四位数的验证码,跟着上面跑
理论上发一次包,跑出来的概率是万分之一

而且验证码可以重复使用

登入进去查看信息,看burp里面的包”registerTime”:”2020-06-30应该就是刚刚爆破的时候创建的账号,默认在没有创建过账号的情况下,爆破成功验证码就会自动创建账号。

总结

以前倒是遇到过不少四位数验证码爆破的,但是这种可以结合短信遍历,一个短信验证码只能验证三次的,最后能成功利用的还是第一次遇到,关键还是这里不存在图片验证码或者行为验证码可操作性强了很多。

文章来源:博客园(lego's blog)原文地址:https://legoc.github.io/2020/07/07/一个有趣的任意密码重置/

关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包
 还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247502790&idx=1&sn=5ae6c1910d1679a86e2bda23e32ff2c8&chksm=cfa56fd5f8d2e6c3df46305b8da0ea6e4d9afcbbbc22aaa9370339e822ff447bef5a8f991b26#rd
如有侵权请联系:admin#unsafe.sh