一 前言
漏洞逻辑比较简单,技术含量不高,主要分享下思路,如何从修改任意用户密码到想修改谁的密码就修改谁的
二 发现过程
此漏洞是我玩的一款手游:忍者必须死3,漏洞已经修复,因为我手机号换了,原手机号接收不到验证码,去官网申诉了下,申诉成功后官方给我发了一封重置密码的链接,如下图
可以看到id和token信息,首先就想到这里有越权漏洞,打开看一下,随便输入密码会显示失败,应该是token已失效的原因
抓包看下,将id随便换成别的,这里经过测试发现把token改为空可以成功修改
可以看到密码修改成功
密码已经修改成功,上号确认了一下,确实修改成功了
三 扩大利用
现在已经可以修改随机用户的账号密码了,但是我们不知道目标id,只能实现随机修改。这里猜测手机号和id是绑定的,现在开始找传手机号参数的功能点,在申诉功能点发现可以传入手机号,抓包看下
我们可以看到回显信息里包含了id和手机号,下一步我们就要去寻找目标账户绑定的手机号,才能修改目标的密码
继续寻找相关信息,最终在app登陆界面-忘记密码处有这个功能点
可以查询账号信息,点进去看下,发现可以通过游戏里面的UID得到手机号的一些信息,而游戏UID是公开的
下图可以看到游戏的UID,那我们就可以知道手机号前三位和后四位信息了
随便找了个大佬号的ID,返回刚才界面去输入看下,成功看到了手机号的一些信息
现在我们知道了目标手机号的前三位和后四位,这时候找到界面中的忘记密码处
发现当输入错误的账号会显示不存在
只有中间四位不知道,爆破起来很快,最后只得到几个真实存在的手机号,我们就可以去游戏app登陆界面去对比,手机号正确的话,返回的UID是一样的,这里也可以写个脚本去判断,因为真实存在手机号就几个,我就直接手动尝试的。
最后也是成功修改了目标的密码
四 结束
这个漏洞没有什么很高深的技术点,主要是分享下思路,怎么去扩大漏洞的利用,挖洞过程中有一些信息记录下来,可能组合拳造成更大的危害。
原文始发于微信公众号(Z2O安全攻防):实战挖洞之任意用户名密码修改
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论