51CTO之任意密码重置风险（各种组合综合利用）

上次提交审核大大没给通过，说是精确的获取用户id是关键，今天又考虑了一下，还是给我找到了。。

同样上次的流程再走一遍，用两个邮箱来说明：

邮箱 1 --》获取三个重置密码的链接：

URL 1

http://ucenter.51cto.com/setemailpass.php?id=7804861&unid=7747d234f4b2b8cab3e55485f2884abc

unid MD5 解密得：

1458607665

URL 2

http://ucenter.51cto.com/setemailpass.php?id=7804861&unid=679c5b68bc1b974db24b3c2ca38660a4

unid MD5 解密得：

1458607794

URL 3

http://ucenter.51cto.com/setemailpass.php?id=7804861&unid=27b8a923b86dfba72b40673a7fbecc14

unid MD5 解密得：

1458607984

邮箱 2 --》获取两个链接：

URL 1

http://ucenter.51cto.com/setemailpass.php?id=10007943&unid=fc0b2180ee91325e44e9782f5b79cad8

unid MD5 解密得：

1458608098

URL 2

http://ucenter.51cto.com/setemailpass.php?id=10007943&unid=cca1df879eec29c438ff2b3767769ef7

unid MD5 解密得:

1458608188

那么这个时候就可一对比下解密后的uind，发现只有后四位不一样：

那么这个时候我们就可以生成一个四位数字的字典，在每个前面加上145860，这个在一天之中不会变的常数，然后进行32位md5加密即可对unid进行爆破。

好了unid的问题解决了，那么如何精确的获取用户的id呢？

老师说上课打笔记是个好习惯，我在51CTO打笔记的时候发现，有个同学的笔记，当然重点不在笔记，而是用户的名字，我点开看了一下审查了一下元素，发现网页源代码中已经泄露了用胡的id参数：

为了确定这个是用户的id值我用邮箱1 登录了一下，看了下确实和重置密码中的id值相同：

那么现在万事具备了，为了不影响其他用户,我就拿邮箱2来重置了：

首先拼接常数生成32为md5加密的字典：

然后就是获取id值对unid进行爆破,：

爆破成功：

RT

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-03-27 09:40

厂商回复：

漏洞Rank：15 (WooYun评价)

最新状态：

暂无

1. 2016-03-22 09:32 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

   5

   我只能说存在风险，想有效利用还有点难度，但思路不错

   1# 回复此人

2. 2016-03-22 09:34 | js2012 ( 普通白帽子 | Rank:126 漏洞数:44 | 闭关修炼。。。)

   1

   谢谢审核大大@ 浩天

   2# 回复此人

3. 2016-03-22 10:12 | sm0nk ( 普通白帽子 | Rank:174 漏洞数:30 | all is well)

   1

   6

   3# 回复此人

4. 2016-03-22 10:33 | 土夫子 ( 普通白帽子 | Rank:507 漏洞数:88 | 看似山穷水尽，终将柳暗花明)

   1

   给我充值100000个下载豆

   4# 回复此人

5. 2016-03-22 11:21 | 赵健康 ( 实习白帽子 | Rank:54 漏洞数:13 | 慢慢进步！！！)

   1

   持续关注

   5# 回复此人

6. 2016-03-22 15:54 | 闰土。 ( 路人 | Rank:6 漏洞数:3 | 做自己的英雄 - rainto .)

   1

   相关部门正在持续关注

   6# 回复此人

7. 2016-03-22 16:42 | water ( 普通白帽子 | Rank:569 漏洞数:175 | If you have one, then we have more than ...)

   1

   mark

   7# 回复此人

8. 2016-03-27 09:47 | 酷帥王子 ( 普通白帽子 | Rank:270 漏洞数:74 | 天之屌，人之神！天人合一，乃屌神也！绝对...)

   2

   这个也是一个渗透思路嘛，虽然批量化的搞，但是假想如果你要指定搞的是FBI局长的耗子的话，那这个思路就有价值多了，所以嘛洞猪，思路不错，精神可嘉!支持你

   8# 回复此人

9. 2016-03-27 10:06 | js2012 ( 普通白帽子 | Rank:126 漏洞数:44 | 闭关修炼。。。)

   1

   @酷帥王子 谢谢支持,不知道为啥乌云评价的RANK没有给我加啊

   9# 回复此人

10. 2016-03-27 10:10 | js2012 ( 普通白帽子 | Rank:126 漏洞数:44 | 闭关修炼。。。)

    1

    @浩天 审核大大，RANK为嘛没给我加啊

    10# 回复此人

11. 2016-03-27 10:35 | null_z ( 普通白帽子 | Rank:1012 漏洞数:115 )

    1

    @js2012 有延迟，等会儿就会加

    11# 回复此人

12. 2016-03-27 23:37 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    你这有点不严谨啊，只爆破了14次，不说1w次，你好歹也爆破个1k次试试啊，说不定waf或者啥验证码之类的就出来了。。。

    12# 回复此人

13. 2016-03-28 09:10 | yuliner ( 路人 | Rank:8 漏洞数:3 | 今天天气挺好，我想出去晒太阳。。)

    1

    没看懂，你这个爆破的前提是别人点了密码重置生成了连接才有效吧。别人没点重置密码，你爆破啥呢？

    13# 回复此人

14. 2016-03-28 09:18 | Rand0m ( 实习白帽子 | Rank:42 漏洞数:11 | 竟然还有人冒充我，醉了，骗子QQ：44569754...)

    1

    这个思路给满分

    14# 回复此人

15. 2016-03-28 13:20 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    1

    这个厂商忽略的有道理！

    15# 回复此人

16. 2016-03-29 11:27 | feiyu ( 普通白帽子 | Rank:114 漏洞数:31 )

    1

    @yuliner 针对性的爆破

    16# 回复此人

17. 2016-03-30 21:21 | 欧尼酱 ( 路人 | Rank:15 漏洞数:7 | 技术马马虎虎)

    1

    忽略？？？

    17# 回复此人

18. 2016-03-31 16:10 | BMa ( 核心白帽子 | Rank:2078 漏洞数:229 )

    1

    这个就是unix时间戳呀：1458607794

    18# 回复此人

19. 2016-03-31 16:26 | sysALong ( 普通白帽子 | Rank:464 漏洞数:100 | 在我们黑龙江这噶哒，就没有什么事是【撸串...)

    1

    @BMa 哈哈哈哈哈哈哈

    19# 回复此人

20. 2016-03-31 17:04 | BMa ( 核心白帽子 | Rank:2078 漏洞数:229 )

    1

    @sysALong ？

    20# 回复此人

21. 2016-04-15 09:54 | 二维码 ( 实习白帽子 | Rank:61 漏洞数:4 | 老子跳起来就是个么么哒)

    1

    不就是一个unix时间戳？写成脚本的话，可以5秒重置一个账户,妥妥的！

    21# 回复此人

22. 2016-04-25 10:33 | July ( 路人 | Rank:29 漏洞数:11 | 红星闪闪)

    0

    思路不错

    22# 回复此人