0x01 前言
通过逆向JS加密函数,绕过时间戳校验,成功实现账户接管。本文涉及EDUSRC的相关漏洞均已修复、本文中技术和方法仅用于教育目的; 文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。作者:syst1m
现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo“设为星标”,否则可能就看不到了啦!
末尾可领取挖洞资料文件
0x02 漏洞详情
摸到一个登录框,发现可以重置密码:
抓包重放发现是有签名校验,且用时间戳防止重放
于是逆向签名,js 里面发现加密方式
sign的值来自函数G()
跟进函数G()
发现所有的加密参数,然后编写py代码开始爆破4位短信验证码,测试的时候可以根据真实接受到的短信验证码,调整下爆破区间,密码为test321
爆破完成后成功登陆
同理,修改绑定手机号处,方法也一致
请求包参数一致
测此处,需要先提交一条。此处可以看到我只有一条,
通过替换这些参数,遍历
用脚本加密,可以看到是一样的,只需要修改一下数字遍历即可
查看其他人的评论:
最后也是拿下了高危证书到手
0x03 总结
原文始发于微信公众号(渗透安全HackTwo):逆向与爆破 北大*站从JS逆向到账户接管|挖洞技巧
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论