某大学统一认证任意重置

声明：该漏洞目前已经修复，关键信息已经打码，仅供参考学习，勿做他用！！

偶然间的一个下午，闲来无事，浏览器打上关键字，随便看了几眼，来到一处学校统一认证处

这里我们直接尝试默认密码没有结果后，直接尝试忘记密码

这里的话，我们可以看到，修改密码分为四个步骤的，直接信息收集一波学生信息，尝试进行绕过

第二步就是选择手机验证码校验，其实哪个都无所谓，因为我们本身是不可能获取到正确手机验证码的，这里直接选择绕过的

继续点击下一步，然后手机验证码发送

然后我们随便填写一个验证码，关键在这一步怎么绕过去，点击下一步的时候选择抓包，然后发送到重放模块，分析返回包

仔细观察不难找到其中的规律，整体验证分为四步，这里直接把第一个改成第四步，然后failure直接改成true,最关键的就是，返回地址，看他的英文意思直接猜测第四步返回地址，后面的内容直接删掉即可

整体构造的返回包参数如下：
{“code”:”success”,”step”:”step4”,”nextURL”:”retakePwd.zf”}

替换之后，直接放包就可以绕过第三步直接修改密码

输入密码直接重置成功，说明后端手机验证码环节还是缺乏一定的校验，通过学生账号又进一步找到老师工号和信息，直接重置老师的密码，登录成功，获取对应权限

接下来就是进一步找更高权限的账号和身份证信息，然后获取更高的权限，逐步扩大危害即可

总体下来，这个漏洞的难度不大，利用难度低，但是可以重置任意账户的密码，只需要收集到他的个人信息即可，危害较大，毕竟是在统一认证处的

原文始发于微信公众号（掌控安全EDU）：某大学统一认证任意重置