一 前言

学习网络安全已经两个月了，第一次挖洞，技术含量不高，大牛可以跳过，主要分享下思路，希望可以结交更多的小伙伴，有圈内人员可以拉下弟弟进个学习群啥的（圈外人员的梦想）

二 发现过程

此漏洞是我玩的一款手游：忍者必须死3，但是漏洞已修复（此处因为我的失误，不然可以交个公益src了）因为我手机号换了，原手机号接受不到验证码，去官网申诉了下，申诉成功后官方给我发了一封重置密码的链接，如下图

看到这，小老板们应该就一眼懂了，点个确定看一下

显示错误，我们用burp抓个包分析下

可以看到id和token，重发数据包会显示token已失效，我们把token改为空，放包

密码已经修改成功，上号确认了一下，确实修改成功了（将id修改，也是可以修改成功，漏洞已经修复，没办法截图了）

三 扩大利用

现在已经可以修改随机用户的账号密码了，现在还需要知道别人账号id，才能修改明确目标的账号密码。猜测手机号和id是绑定的，现在开始找传手机号参数的功能点，在申诉功能点发现可以传入手机号，抓包看下

我们可以看到返回了id和手机号，现在我们只要知道目标手机号就可以修改目标账号密码了。

继续寻找相关信息，最终在app登陆界面-忘记密码处有这个功能点

可以查询账号信息，点进去看下

我们知道游戏的UID就可以看到手机号前三位和后四位信息了，进游戏找个大佬号看下（这里我犯了失误，以后大家一定要拿自己的小号去试，这导致那个大佬直接联系了官方，然后漏洞就被修复了...还没有来的及提交公益赚点儿积分）

我们可以看到ID，返回刚才界面去输入看下

可以看到返回了手机号的前三位和后四位，这时候我们就可以去官网申诉功能点去爆破下

账号不存在的话会返回用户不存在或创建失败，只有中间四位，爆破起来很快，最后只得到几个真实存在的手机号，我们就可以去游戏app登陆界面去对比

手机号正确的话，UID是一样的，这里我是一个一个手机号试的，如多手机号多的话可以抓包去爆破，手机没有root就算了吧。然后去找到爆破的时候那个包，就可以看到手机号和官网账号的id了，就可以实现想修改谁的就修改谁的密码了。到此就结束了。

四 结束

这个漏洞没有什么很高深的技术点，作为实战第一洞，还是挺兴奋的，也明白一个道理，在渗透测试过程中如遇到一些传入手机号返回id的要记录下来，可能搭配其他的漏洞就可以让危害更大。感兴趣的小伙伴可以点个关注，以后会继续分享实战挖洞经历和学习过。