密码找回逻辑漏洞总结

BMa 2015-03-09 10:48:00

0x00 背景介绍


请注意这两篇文章:

密码找回功能可能存在的问题

密码找回功能可能存在的问题(补充)

距离上两篇文档过去近半年了,最近整理密码找回的脑图,翻开收集的案例,又出现了一些新的情况,这里一并将所有见到的案例总结并分享给大家,在测试时可根据这个框架挖掘!

0x01 密码找回逻辑测试一般流程


  • 首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包
  • 分析数据包,找到敏感部分
  • 分析后台找回机制所采用的验证手段
  • 修改数据包验证推测

0x02 脑图


0x03 详情


用户凭证暴力破解


四位或者六位的纯数字 例子

WooYun: 当当网任意用户密码修改漏洞

WooYun: 微信任意用户密码修改漏洞

返回凭证


url返回验证码及token 例子

WooYun: 走秀网秀团任意密码修改缺陷

WooYun: 天天网任意账户密码重置(二)

密码找回凭证在页面中


通过密保问题找回密码 例子

WooYun: sohu邮箱任意用户密码重置

返回短信验证码


例子

WooYun: 新浪某站任意用户密码修改(验证码与取回逻辑设计不当)

邮箱弱token


时间戳的md5 例子

WooYun: 奇虎360任意用户密码修改漏洞

用户名 & 服务器时间


WooYun: 中兴某网站任意用户密码重置漏洞(经典设计缺陷案例)

用户凭证有效性


短信验证码 例子

WooYun: OPPO手机重置任意账户密码(3)

WooYun: 第二次重置OPPO手机官网任意账户密码(秒改)

WooYun: OPPO修改任意帐号密码

邮箱token


例子

WooYun: 身份通任意密码修改-泄漏大量公民信息

重置密码token


例子

WooYun: 魅族的账号系统内存在漏洞可导致任意账户的密码重置

重新绑定


手机绑定 例子

WooYun: 网易邮箱可直接修改其他用户密码

WooYun: 12308可修改任意用户密码

邮箱绑定


例子

WooYun: 某彩票设计缺陷可修改任意用户密码

WooYun: 中国工控网任意用户密码重置漏洞

服务器验证


最终提交步骤 例子

WooYun: 携程旅行网任意老板密码修改(庆在wooyun第100洞)

服务器验证可控内容


例子

WooYun: AA拼车网之任意密码找回2

WooYun: 四川我要去哪517旅行网重置任意账号密码漏洞

服务器验证验证逻辑为空


例子

WooYun: 某政企使用邮件系统疑似存在通用设计问题

用户身份验证


账号与手机号码的绑定

WooYun: 上海电信通行证任意密码重置

账号与邮箱账号的绑定


例子

WooYun: 魅族的账号系统内存在漏洞可导致任意账户的密码重置

WooYun: 和讯网修改任意用户密码漏洞

找回步骤


跳过验证步骤、找回方式,直接到设置新密码页面 例子

WooYun: OPPO手机同步密码随意修改,短信通讯录随意查看

WooYun: 中国电信某IDC机房信息安全管理系统设计缺陷致使系统沦陷

本地验证


在本地验证服务器的返回信息,确定是否执行重置密码,但是其返回信息是可控的内容,或者可以得到的内容 例子

WooYun: 看我如何重置乐峰网供应商管理系统任意用户密码(管理员已被重置)

WooYun: oppo重置任意用户密码漏洞(4)

发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制


例子

WooYun: OPPO修改任意帐号密码-3

WooYun: OPPO修改任意帐号密码-2

注入


在找回密码处存在注入漏洞 例子

WooYun: 用友人力资源管理软件(e-HR)另一处SQL注入漏洞(通杀所有版本)

Token生成


token生成可控 例子

WooYun: 天天网任意账号密码重置(非暴力温柔修改)

WooYun: 天天网再一次重置任意账号密码(依旧非暴力)

注册覆盖


注册重复的用户名 例子

WooYun: 中铁快运奇葩方式重置任意用户密码(admin用户演示)

session覆盖


例子

WooYun: 聚美优品任意修改用户密码(非爆破)

附脑图文件:密码找回漏洞挖掘.zip

评论

3

3xpl0it 2015-03-09 10:51:46

这个好屌。。

矢量 2015-03-09 11:08:17

真的能说话?看不太懂唉

_Thorns 2015-03-09 11:10:56

先占个沙发再看!

G

gainover 2015-03-09 11:34:57

赞作者,赞大乌云。乌云的价值在第一个图里得以展现。

O

only_guest 2015-03-09 11:35:58

看到我的几个例子出现在了楼主的实例里,
我经常会关注此类型漏洞,楼主总结的确实非常全面了。
下载留档。
点赞

我是壮丁 2015-03-09 11:59:30

这种总结,才是最有效的沉淀啊

90Snake 2015-03-09 12:41:34

乌云的价值在第一个图里得以展现。

T

todaro 2015-03-09 12:55:15

还有一个,上次看到了,不禁惊讶了一下。第一次发验证码之后,再点解重发的时候抓包。。。。

H

hkAssassin 2015-03-09 13:51:07

看到我的例子出现在了楼主的实例里,
我经常会关注此类型漏洞,楼主总结的确实非常全面了。
下载留档。
点赞

C

Code_Monkey 2015-03-09 14:13:06

收藏失败 - -.

L

loopx9 2015-03-09 14:18:59

使用了不靠谱的短信服务平台也可能造成泄露验证短信等信息,进而可重置密码。

C

C木苦咖啡 2015-03-09 15:10:38

找回密码 - .-

L

lucky_fn 2015-03-09 15:35:43

收藏了

P

px1624 2015-03-09 15:43:10

仔细看了一遍,又学了3种新姿势

白非白 2015-03-09 15:55:44

+1

胡小树 2015-03-09 16:14:03

略屌

大亮 2015-03-09 17:14:48

脑图值能看源地址才能看清楚,再次学习了

小清新 2015-03-09 18:32:38

脑洞太小~~~~~~~~~~~mark下 慢慢消化

P

Power 2015-03-09 22:23:56

牛逼,酒还是陈酿的好啊!!

J

jianFen 2015-03-09 22:39:58

很喜欢研究逻辑漏洞 谢楼主

刘海哥 2015-03-10 08:48:42

+2

X

xy小雨 2015-03-10 09:29:36

图片good

笑看天下 2015-03-10 11:23:58

这种思维导图软件楼主用的是那款

C

cooFool 2015-03-10 13:12:08

好人

L

light 2015-03-10 17:04:08

收藏起来晚上进被窝慢慢研究~

肉肉 2015-03-10 17:08:41

其实想问问,楼主你是卖宝马的么

1

123 2015-03-12 15:33:04

123

K

kevinchowsec 2015-03-13 14:04:34

nice,全篇看完,案例精彩,给我测试做了很多帮助!

M

MagicZero 2015-03-14 15:27:30

认真学习了。总结的很不错

围剿 2015-03-25 16:39:35

已经收藏了

小小宝 2015-03-27 15:59:13

天天被打成筛子了,第三个也交了

L

Lar2y 2015-04-10 18:05:01

收藏了

H

harbour_bin 2015-06-22 11:52:19

今天看了第二遍,有了新的体会!赞一下

H

hackyandi 2015-07-10 16:51:52

学习了

枯荣 2015-08-19 19:31:22

THX U SHARE

这只是一个很小很小很小的小号 2015-08-19 22:58:30

好多啊。。。。学习啦

情痴 2015-11-17 12:54:20

学习了,谢谢大牛分享

H

harbour_bin 2015-12-06 16:43:55

又看了一遍....

B

BMa

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

Exploit 文章:40 篇
Java安全 文章:34 篇
SQL注入 文章:39 篇
PHP安全 文章:45 篇
Android 文章:89 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录