记一次某大厂配置不当导致的任意密码重置和任意用户登录

admin 2025年6月7日09:07:22评论0 views字数 1930阅读6分26秒阅读模式

 

0x1 前言
任意密码重置漏洞是Web安全领域中危害性极高的漏洞类型之一。攻击者一旦利用此类漏洞,可直接绕过系统身份验证机制,通过非法手段篡改用户密码,进而获取账户控制权。

若该漏洞涉及管理员账户,攻击者甚至可能接管整个业务系统,导致数据泄露、业务中断等重大安全事件。近年来,国内外多家知名企业曾因类似漏洞遭受攻击,例如某社交平台因密码重置逻辑缺陷导致千万用户信息泄露,某电商平台因接口权限控制缺失引发订单篡改事件。

记一次某大厂配置不当导致的任意密码重置和任意用户登录

本次案例中,某大厂因前端与后端协同配置不当,导致系统存在两处高危漏洞:任意用户密码重置未授权管理员登录。漏洞成因涉及验证码绑定逻辑缺陷、接口权限校验缺失、关键参数未加密传输等多重问题。下文将结合测试过程,详细剖析漏洞细节及修复建议,为企业和安全从业者提供参考。

0x2 渗透测试

正常进行网上摸鱼时发现一个登录界面,搞一下正常开始尝试弱口令,发现他竟然回应密码错误!!!说明什么说明用户名admin是正确的啊各位,开搞开搞。

记一次某大厂配置不当导致的任意密码重置和任意用户登录

一开始本来打算直接开始爆破的但是这里的验证码在包中虽然可以看见并未进行加密(提交的用户名与密码也没有加密)但与一个参数uniqueId绑定,且这个参数是随机生成并是一次性,所以没法进行爆破了

记一次某大厂配置不当导致的任意密码重置和任意用户登录

uniqueID就是与验证码(vcode)绑定用来验证是否一致的

接下来去查找其他功能点进行测试发现一个找回密码的功能,开始尝试修改密码,抓包发现修改密码只需要三个参数:用户名、验证码、邮箱验证码。前俩个都有但是邮箱验证码怎么搞到手呢。

点击免费获取验证码本来打算看看有没有验证码回显的,发现不行开始进行验证码常规绕过思路双写、回显、验证码置为null等等... 测完一圈得出都不行。这个地方只有一个勉强算得上有用的功能就是可以根据用户名得到他绑定的邮箱,可以尝试去社工他万一成功了呢。

记一次某大厂配置不当导致的任意密码重置和任意用户登录

这也勉强算是一个漏洞吧,只要知道用户名就可以得到邮箱(虽然知道过不了审属于是自我安慰了)

本来以为这次的测试之旅就要结束了,突然灵光一现想到之前看过不少src报告中有一种修改返回包的手法。开始最后一次尝试,发现他竟然显示密码重置成功!!!But 新密码已发送到你邮箱(有一点无语😶)这里只要知道用户名就可以实现密码重置,只是不知道重置成啥了

记一次某大厂配置不当导致的任意密码重置和任意用户登录

将返回包修改为验证码正确的回包

({code:1....success:true})

这样密码就重置成功了好了成功挖出第一个漏洞任意用户密码重置,这里只需要知道用户名就可以实现任意密码重置

记一次某大厂配置不当导致的任意密码重置和任意用户登录

但是这样只是一个低危因为并不知道重置后的密码是什么所以有点小遗憾

用火狐的fs插件也是发现存在一些别的接口去尝试拼接(千万不要觉得麻烦)很多未授权都是这么跑出来的

记一次某大厂配置不当导致的任意密码重置和任意用户登录

这里我习惯burpsuite跑了一下。就发现了一个意外收获竟有一个接口直接绕过了账号密码登录直接进入后台了。开始详细的抓包分析

记一次某大厂配置不当导致的任意密码重置和任意用户登录

发现直接访问的时候有一个接口current/users会检测当前登录状态绕过手法上面任意密码重置一样将他的返回包修改或者直接丢弃就可以了

记一次某大厂配置不当导致的任意密码重置和任意用户登录

成功登录是一个无权限的空身份,现在开始提权,整个页面只有三个功能点可用有一个查看当前用户身份信息,按照提示填写管理员账号信息并抓包进行详细分析

记一次某大厂配置不当导致的任意密码重置和任意用户登录
记一次某大厂配置不当导致的任意密码重置和任意用户登录

经过多次尝试发现这里主要是username和userType、roleId这三个参数进行识别。那就好办了基于他给出的参数去尝试构造最后也是成功获取了管理员权限,只要构造正确就可以实现任意身份去登录。

修复建议:

  • 强化身份验证逻辑
    :密码重置流程需增加多因素验证(如短信验证码、邮箱二次确认),并确保服务端对关键操作(如验证码状态)进行独立校验。
  • 加密传输与参数混淆
    :对用户名、密码、验证码等敏感参数进行加密传输,避免明文暴露;同时采用动态Token绑定验证码,防止重放攻击。
  • 完善接口权限控制
    :所有后台接口需强制校验用户身份与权限,避免未授权访问;对userType、roleId等关键参数实施服务端白名单校验。
  • 业务逻辑安全测试
    :定期对系统进行黑盒/白盒测试,重点关注身份验证、密码找回、权限管理等高危功能点。
0x3 思路总结

此次漏洞挖掘的关键在于“跳出常规测试思维”。当弱口令爆破受阻时,通过分析返回包交互逻辑发现了突破口;在发现低危漏洞后,进一步深挖接口与参数构造,最终揭露了更深层的权限绕过问题。

对于安全从业者而言,保持耐心、多角度验证猜想,往往能发现隐藏的高危风险。正如安全领域的经典格言:“没有绝对安全的系统,只有未被发现的漏洞。”给大家一个建议在挖洞时如果感觉挖不动了不妨休息一下换个思路看问题说不定会有意想不到的收获。你要相信只要你感觉他又漏洞,他就一定有嘿嘿。

0x4

原文始发于微信公众号(神农Sec):记一次某大厂配置不当导致的任意密码重置和任意用户登录

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日09:07:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次某大厂配置不当导致的任意密码重置和任意用户登录https://cn-sec.com/archives/3859148.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息