利用未授权的密码重置实现完全帐户接管

admin 2025年5月27日15:59:28评论27 views字数 1042阅读3分28秒阅读模式

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

防走失:https://gugesay.com/archives/4359

不想错过任何消息?设置星标↓ ↓ ↓

利用未授权的密码重置实现完全帐户接管

前期侦察

在分析 Target.com 时,通过 Burp Suite 中监控 HTTP 请求,发现一处 有趣的 API 端点:

GET /accounts/manage-users-data HTTP/2

在响应包中,包含了以下参数:

"showResetPassword"false,"showModifyEmails"false

这些值表示用户角色禁用了密码重置和电子邮件修改选项。

利用未授权的密码重置实现完全帐户接管
响应内容

漏洞利用

在 Burp 中使用匹配和替换 ,将响应包修改为:

"showResetPassword"true,"showModifyEmails"true

刷新页面会发现可以访问两个新选项:

利用未授权的密码重置实现完全帐户接管
2 处新选项

测试密码重置

当启用这些选项后,白帽小哥决定测试是否可以为团队中的用户重置密码 。

首先选择一个团队成员的帐户 ,然后单击 Reset Password(重置密码 ),系统响应 200 OK, 并提供了有效的密码重置链接 :

利用未授权的密码重置实现完全帐户接管
重置链接

复制该链接,浏览器中打开后成功设置了新密码,并成功登录了该成员的帐户 。

这证实了我们可以为团队内部的用户重置密码 ——那么该漏洞是否适用于团队外部的用户呢?

任意用户密码重置

当单击 Reset Password(重置密码) 时,拦截请求:

{"userId": 9438867,"resetAccessKey"false}

请求中包括用户的数字 ID,这立刻引起了白帽小哥的注意。

利用未授权的密码重置实现完全帐户接管
拦截请求

为了确认用户 ID 是连续的 ,白帽小哥创建了一个新账户并检查了其用户 ID。

新账户的 ID为 9438868,这意味着系统使用了增量用户 ID。

修改该请求,将 userId 替换为另一个非团队用户 ID:

{"userId": 9438868,"resetAccessKey"false}

服务器响应 200 OK, 同时收到了有效的密码重置链接 !成功成功登录受害者的帐户!

白帽小哥立即报告了该漏洞,最终漏洞被定级为严重,白帽小哥也顺利获得了丰厚的漏洞赏金。

利用未授权的密码重置实现完全帐户接管
赏金结算

希望通过本文,你能有所收获~

- END -

加入星球,随时交流:

(会员统一定价):128元/年(0.35元/天)利用未授权的密码重置实现完全帐户接管感谢阅读,如果觉得还不错的话,欢迎分享给更多喜爱的朋友~

原文始发于微信公众号(骨哥说事):利用未授权的密码重置实现完全帐户接管

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月27日15:59:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用未授权的密码重置实现完全帐户接管http://cn-sec.com/archives/4102448.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息