访问漏洞URL为:
https://****.***.edu.cn/Html/Index.html
选择用户登录页面的忘记密码
测试账号:Myan
测试密码:********
点击下一步
选择手机号码找回
填入验证码和获取到的手机验证码,点击下一步
这里填入我们要修改的新密码,这里填入的是测试密码
点击完成,进行bp抓包,可以发现获取到下面的数据包,直接发送到repeater模块
该逻辑漏洞是将将Cookie和Referer删掉后依然可以操作,没有鉴权
可以发现能正常修改密码,并且修改的密码是根据发送包的userId来判断的,我们修改userId的值为32955看看是否能修改userId为32955的用户
返回200,成功修改,我们在返回包中搜索username查找修改的用户名
用户名为海哥哥,我们用这个用户名和我们修改的密码去尝试登录
成功登录
去到个人中心看看
选择编辑,可以看到当前用户的个人信息,包括个人姓名,电话、身份证等
经过测试userId从10021开始,假设到32956结束,那我们可以通过该漏洞越权修改两万多人的账号密码,大量敏感信息,危害极大
END..............
原文始发于微信公众号(PwnPigPig):一次配合任意密码重置逻辑+越权的组合拳打法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论