逻辑漏洞之密码找回漏洞(semcms)

   日期:2020-09-08     浏览:94    评论:0    
核心提示:目录什么是密码找回漏洞一般流程可能产生该漏洞的情况脑洞图1.用户凭证暴力破解2.返回凭证3.邮箱弱token4.用户凭证有效性5.重新绑定6.服务器验证7.用户身份验证8.找回步骤9.本地验证10.注入11.Token生成12.注册覆盖13.session覆盖演示暴破验证码找回密码更改id号修改admin密码靶场cms下载什么是密码找回漏洞利用漏洞修改他人帐号密码,甚至修改管理员的密码。一般流程1 首先尝试正常找回密码流程,选择不同的找回方式,记录所有数据包2 分析数据包,找到敏感部分3

目录

    • 什么是密码找回漏洞
    • 一般流程
    • 可能产生该漏洞的情况
    • 脑洞图
        • 1.用户凭证暴力破解
        • 2.返回凭证
        • 3.邮箱弱token
        • 4.用户凭证有效性
        • 5.重新绑定
        • 6.服务器验证
        • 7.用户身份验证
        • 8.找回步骤
        • 9.本地验证
        • 10.注入
        • 11.Token生成
        • 12.注册覆盖
        • 13.session覆盖
    • 演示
      • 暴破验证码找回密码
      • 更改id号修改admin密码
    • 靶场cms下载

什么是密码找回漏洞

利用漏洞修改他人帐号密码,甚至修改管理员的密码。

一般流程

1 首先尝试正常找回密码流程,选择不同的找回方式,记录所有数据包
2 分析数据包,找到敏感部分
3 分析后台找回机制所采用的验证手段
4 修改数据包验证推测

可能产生该漏洞的情况

1、验证码爆破的,对验证码有效期和请求次数没有进行限制;

2、token验证之类的,直接将验证内容返回给用户;

3、找回密码功能的进行身份验证内容未加密或者加密算法较弱,容易被猜解;

4、对用户的身份验证在前端进行,导致验证被抓包绕过;

5、在最后一步修改密码的动作时,没有校验帐号是否通过了验证、短信与手机号是否对应。

脑洞图

1.用户凭证暴力破解

1.1 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字,就可以重置密码,导致可以暴力破解。

2.返回凭证

2.1 url返回验证码及token(找回密码凭证发到邮箱中,url中包含用户信息以及凭证,但是这个凭证可以重置任何用户)

2.2 密码找回凭证在页面中(通过密保问题找回密码、找回密码的答案在网页的源代码中)

2.3 返回短信验证码

3.邮箱弱token

3.1 时间戳的md5(Unix时间戳)
3.2 用户名
3.3 服务器时间

4.用户凭证有效性

4.1 短信验证码
4.2 邮箱token
4.3 重置密码token

5.重新绑定

5.1 手机绑定(任意用户绑上自己可控的安全手机,就可以重置任意人的手机号码了)
5.2 邮箱绑定

6.服务器验证

6.1 最终提交步骤
6.2 服务器验证可控内容(在最后重置密码处跟随一个用户ID,改成其他用户ID,即可把其他用户改成你刚刚设置的密码)
6.3 服务器验证逻辑为空

7.用户身份验证

7.1 账号与手机号码的绑定
7.2 账号与邮箱账号的绑定

8.找回步骤

8.1 跳过验证步骤、找回方式,直接到设置新密码页面

9.本地验证

9.1 在本地验证服务器的返回信息,确定是否执行重置密码,但是其返回的信息是可控的内容,或者可以得到的内容(密码找回凭证在客户端获取,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了)
9.2 发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制

10.注入

10.1 在找回密码出存在注入漏洞

11.Token生成

11.1 Token生成可控

12.注册覆盖

12.1 注册重复的用户名(比如注册A,返回用户已存在,把已存在的状态修改为可注册,填写信息提交注册,就可以覆盖A账号)

13.session覆盖

参考资料来源 https://bbs.ichunqiu.com/thread-18920-1-1.html

演示

暴破验证码找回密码

首先,要知道管理员的邮箱,还有后台路径

初始密码是1,登录成功,说明网站配置没问题

现在开始爆破之路。
退出登录,进入后台,选择找回密码

确认找回
这里没有配置邮箱服务,所以报错,实际网站管理员是会开启邮箱服务的

这里的绕过payload:?type=ok&umail=yc@qq.com,yc@qq.com 是管理员的邮箱。实际操作中,可以从网页上管理员的联系方式中找到管理员的邮箱信息。

这里密码随便输,认证码也随便填一个4位数(因为此cms的认证码是个由数字组成的四位数)

准备抓包,然后点击确认找回
右击鼠标,发送给测试器(或者直接ctrl+l)

进入测试器,位置,清除所有负载

然后选中1111,也就是邮箱认证码,添加负载

选中有效载荷,类型选择数值,从0000开始,到9999结束,每次递增1

进入选项,这里线程数根据实际要求来。比如一个6位数的验证码,1分钟后就失效了,线程就要高——线程不能太高了,不然电脑容易崩。如果只有4位数,才10000次请求,或者验证码10分钟才失效,线程就可以低一点

然后开始攻击

发现1返回的长度和其他的都不一样,那就说明验证码可能是0001

回到找回密码的界面,将认证码改为0001,确认找回

提示操作成功

使用更改过的密码登录,登录成功

更改id号修改admin密码

先登录admin的初始密码是admin


然后退出,用普通用户登录,账号aaaaa,密码asdfsadf。登录成功后选择修改密码。

旧密码随便填,因为在这里旧密码就是个摆设:系统监测到你已经登录,就默认你知道旧密码,不会再验证旧密码。

这里我设置新密码是123456


抓包,将uid改为1(admin的uid值为1;aaaaa的uid为2 。这里改成1是为看修改admin的密码,当然也可以换成其他的,比如3,4,5,6,7……就会修改对应uid账号的密码)

改完之后把包放了
显示ok,说明修改密码成功


使用账号admin,密码123456登录成功。
admin原来的初始密码admin已经失效。aaaaa的密码也没有修改,仍然是asdfsadf

靶场cms下载

semcms下载链接(建议安装在根目录)

 
打赏
 本文转载自:网络 
所有权利归属于原作者,如文章来源标示错误或侵犯了您的权利请联系微信13520258486
更多>最近资讯中心
更多>最新资讯中心
0相关评论

推荐图文
推荐资讯中心
点击排行
最新信息
新手指南
采购商服务
供应商服务
交易安全
关注我们
手机网站:
新浪微博:
微信关注:

13520258486

周一至周五 9:00-18:00
(其他时间联系在线客服)

24小时在线客服