目录
- 什么是密码找回漏洞
- 一般流程
- 可能产生该漏洞的情况
- 脑洞图
- 1.用户凭证暴力破解
- 2.返回凭证
- 3.邮箱弱token
- 4.用户凭证有效性
- 5.重新绑定
- 6.服务器验证
- 7.用户身份验证
- 8.找回步骤
- 9.本地验证
- 10.注入
- 11.Token生成
- 12.注册覆盖
- 13.session覆盖
- 演示
- 暴破验证码找回密码
- 更改id号修改admin密码
- 靶场cms下载
什么是密码找回漏洞
利用漏洞修改他人帐号密码,甚至修改管理员的密码。
一般流程
1 首先尝试正常找回密码流程,选择不同的找回方式,记录所有数据包
2 分析数据包,找到敏感部分
3 分析后台找回机制所采用的验证手段
4 修改数据包验证推测
可能产生该漏洞的情况
1、验证码爆破的,对验证码有效期和请求次数没有进行限制;
2、token验证之类的,直接将验证内容返回给用户;
3、找回密码功能的进行身份验证内容未加密或者加密算法较弱,容易被猜解;
4、对用户的身份验证在前端进行,导致验证被抓包绕过;
5、在最后一步修改密码的动作时,没有校验帐号是否通过了验证、短信与手机号是否对应。
脑洞图
1.用户凭证暴力破解
1.1 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字,就可以重置密码,导致可以暴力破解。
2.返回凭证
2.1 url返回验证码及token(找回密码凭证发到邮箱中,url中包含用户信息以及凭证,但是这个凭证可以重置任何用户)
2.2 密码找回凭证在页面中(通过密保问题找回密码、找回密码的答案在网页的源代码中)
2.3 返回短信验证码
3.邮箱弱token
3.1 时间戳的md5(Unix时间戳)
3.2 用户名
3.3 服务器时间
4.用户凭证有效性
4.1 短信验证码
4.2 邮箱token
4.3 重置密码token
5.重新绑定
5.1 手机绑定(任意用户绑上自己可控的安全手机,就可以重置任意人的手机号码了)
5.2 邮箱绑定
6.服务器验证
6.1 最终提交步骤
6.2 服务器验证可控内容(在最后重置密码处跟随一个用户ID,改成其他用户ID,即可把其他用户改成你刚刚设置的密码)
6.3 服务器验证逻辑为空
7.用户身份验证
7.1 账号与手机号码的绑定
7.2 账号与邮箱账号的绑定
8.找回步骤
8.1 跳过验证步骤、找回方式,直接到设置新密码页面
9.本地验证
9.1 在本地验证服务器的返回信息,确定是否执行重置密码,但是其返回的信息是可控的内容,或者可以得到的内容(密码找回凭证在客户端获取,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了)
9.2 发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制
10.注入
10.1 在找回密码出存在注入漏洞
11.Token生成
11.1 Token生成可控
12.注册覆盖
12.1 注册重复的用户名(比如注册A,返回用户已存在,把已存在的状态修改为可注册,填写信息提交注册,就可以覆盖A账号)
13.session覆盖
参考资料来源 https://bbs.ichunqiu.com/thread-18920-1-1.html
演示
暴破验证码找回密码
首先,要知道管理员的邮箱,还有后台路径
初始密码是1,登录成功,说明网站配置没问题
现在开始爆破之路。
退出登录,进入后台,选择找回密码
确认找回
这里没有配置邮箱服务,所以报错,实际网站管理员是会开启邮箱服务的
这里的绕过payload:?type=ok&umail=yc@qq.com
,yc@qq.com 是管理员的邮箱。实际操作中,可以从网页上管理员的联系方式中找到管理员的邮箱信息。
这里密码随便输,认证码也随便填一个4位数(因为此cms的认证码是个由数字组成的四位数)
准备抓包,然后点击确认找回
。
右击鼠标,发送给测试器(或者直接ctrl+l)
进入测试器,位置,清除所有负载
然后选中1111,也就是邮箱认证码,添加负载
选中有效载荷,类型选择数值,从0000开始,到9999结束,每次递增1
进入选项,这里线程数根据实际要求来。比如一个6位数的验证码,1分钟后就失效了,线程就要高——线程不能太高了,不然电脑容易崩。如果只有4位数,才10000次请求,或者验证码10分钟才失效,线程就可以低一点
然后开始攻击
发现1返回的长度和其他的都不一样,那就说明验证码可能是0001
回到找回密码的界面,将认证码改为0001,确认找回
提示操作成功
使用更改过的密码登录,登录成功
更改id号修改admin密码
先登录admin的初始密码是admin
然后退出,用普通用户登录,账号aaaaa,密码asdfsadf。登录成功后选择修改密码。
旧密码随便填,因为在这里旧密码就是个摆设:系统监测到你已经登录,就默认你知道旧密码,不会再验证旧密码。
这里我设置新密码是123456
抓包,将uid改为1(admin的uid值为1;aaaaa的uid为2 。这里改成1是为看修改admin的密码,当然也可以换成其他的,比如3,4,5,6,7……就会修改对应uid账号的密码)
改完之后把包放了
显示ok,说明修改密码成功
使用账号admin,密码123456登录成功。
admin原来的初始密码admin已经失效。aaaaa的密码也没有修改,仍然是asdfsadf
靶场cms下载
semcms下载链接(建议安装在根目录)