講師:gh0stkey這是補天平台上的乙個案例:整理:飛龍
協議:cc by-nc-sa 4.0
首先註冊乙個賬號,然後找回。
我們收到的驗證碼是六位數。如果**沒有設定頻率限制,或者最大嘗試次數限制的話,那我們自然就會想到可以爆破它。
傳送到 burp 的 intruder:
只給checkphonecode新增標誌,然後將字典型別設定為數字,範圍為000000 ~ 999999。然後爆破,結束後我們發現了乙個與眾不同的封包。
將裡面的驗證碼提交之後便可重置密碼。
我們模擬註冊一下,發現手機驗證碼是四位:
然後抓註冊的封包:
然後將字典設定為四位數字 0000 ~ 9999,進行爆破:
目標是www.vobao.com。
首先註冊,然後直接退出找回,我們看到它是郵箱驗證。
然後檢視驗證郵件:
我們發現其中有乙個vstr,它跟找回密碼頁面中的某個 url 是一樣的,也就是乙個標誌。
那麼vud就應該起到類似驗證碼的作用。如果我們不填寫vud直接訪問,顯示無效。那麼就能確定它是驗證碼了。
這個vud看起來像是個md5,但是實際上是隨機碼。那麼我們嘗試拿另乙個郵箱註冊找回:
可以看到vstr是不一樣的,vud當然也不一樣。但是如果我們郵箱2的vud拼接到郵箱1的vstr上呢?由於郵箱1的vstr是已知的,即使我們訪問不了郵箱1,也可以通過找回密碼頁面的 url 來獲得,那麼我們就可以構造出:
提交後就成功了。
假設郵箱1是別人的郵箱,我們不能訪問其內容,但我們能夠控制郵箱2,那我們就能拿郵箱2來重置郵箱1的賬戶。可以看到,這個漏洞的主要成因就是未對不同使用者的驗證碼進行區分。其中vstr起到使用者標誌的作用,vud起到郵箱驗證碼的作用。
公尺斯特白帽培訓講義(v2)實戰篇 迅雷 CMS
講師 gh0stkey 整理 飛龍 協議 cc by nc sa 4.0 另外這個 cms 是閉源的,沒有找到原始碼。起因是這樣,我們隨便找了乙個 訪問後台登入頁面 admin login.asp 然後使用弱密碼admin admin進了後台 admin index.asp 發現 cookie 有這...
公尺斯特白帽培訓講義(v2)實戰篇 捷達系統
講師 gh0stkey 整理 飛龍 協議 cc by nc sa 4.0 官網 主要產品有 均存在能夠 getshell 的漏洞。這個東西仍舊是閉源的,我們使用它的演示站點,來進行演示。我們用御劍掃一掃。出現了 fckediter。我們訪問 fckeditor,發現是 403 的。但是我們掃瞄 fc...
公尺斯特白帽培訓講義(v2)漏洞篇 第三方風險
講師 gh0stkey 整理 飛龍 協議 cc by nc sa 4.0 網域名稱商就是提供網域名稱購買的站點。我們可以通過站長工具的whois 查詢來查詢網域名稱商,比如這裡我們查詢www.hi ourlife.com的網域名稱商 我們可以得知,該網域名稱是在萬網註冊的。網域名稱商存在一些安全隱患...