逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

admin 2025年5月6日09:51:27评论7 views字数 658阅读2分11秒阅读模式

0x01 前言

       通过逆向JS加密函数,绕过时间戳校验,成功实现账户接管。本文涉及EDUSRC的相关漏洞均已修复、本文中技术和方法仅用于教育目的; 文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。作者:syst1m

现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo设为星标”,否则可能就看不到了啦!

末尾可领取挖洞资料文件

0x02 漏洞详情

摸到一个登录框,发现可以重置密码:

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

抓包重放发现是有签名校验,且用时间戳防止重放

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

于是逆向签名,js 里面发现加密方式

sign的值来自函数G()

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

跟进函数G()

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

发现所有的加密参数,然后编写py代码开始爆破4位短信验证码,测试的时候可以根据真实接受到的短信验证码,调整下爆破区间,密码为test321

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

爆破完成后成功登陆

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

同理,修改绑定手机号处,方法也一致

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

请求包参数一致

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

获取手机号 

测此处,需要先提交一条。此处可以看到我只有一条,

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

通过替换这些参数,遍历

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

用脚本加密,可以看到是一样的,只需要修改一下数字遍历即可

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

查看其他人的评论:

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

最后也是拿下了高危证书到手

逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

0x03 总结

通过分析网站前端代码识别出签名算法,随后构建了能复现该算法的脚本,成功对短信验证码进行自动化爆破,最终实现了账户接管,遇到4位数验证码的加密站点,不妨试试逆向加密0000-9999位数字进行爆破会有惊喜。喜欢的师傅可以点赞转发支持一下谢谢!
0x05

原文始发于微信公众号(渗透安全HackTwo):逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月6日09:51:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧https://cn-sec.com/archives/4031469.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息