分享一下之前挖src遇到比较奇怪的任意用户重置密码。该漏洞在是两个不同学校的网站相互配合导致的组合拳漏洞。
一、收集到的信息:
1、学校a:https://aaaaaaaa.cn/user
2、学校b:https://bbbbbbb.cn/user
3、a学校与b学校是同一个系统。
4、b学校的学生:杨**,学号与姓名,但不知道密码
5、b学校的学生:于*,学号,姓名与密码。
二、漏洞复现
1、打开a学校网站,a学校的登录分为两步。第一步输入学号与姓名。
当学号与密码正确后再进入第二步输入密码。
2、在a学校输入信息收集到的b学校的杨**学生学号与姓名。
下一步显示需要杨**的密码,密码未收集到,但问题不大,从响应包中成功获取到了杨**的userid。
3、打开b学校网站https://bbbbbbb.cn/user,系统与a学校网站相同。不同的是,b学校的登录步骤只有一步,即输入学生的学号,姓名与密码。
输入信息收集到的b学校学生,于**的学号姓名与密码进行登录。
4、在登录后的个人信息设置里,填写好要绑定的手机号验证码信息,抓包。
修改userid为从a学校中获取到的杨**userid
响应包显示修改成功
5、打开b学校的找回密码功能,输入杨**学生的学号与刚才越权绑定的手机号,获取验证码信息,新密码为Aa123456@
修改成功
6、重新登录b学校,输入杨**的学号与刚才成功修改的新密码Aa123456@。
成功登录杨**账号
三、漏洞总结:
原文始发于微信公众号(听风安全):src 挖掘| 奇怪的任意用户重置密码组合拳漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论