您现在的位置是:首页 > 黑客技术

随意客户密码重置(四):重置凭据未校检

作者:果E安全网时间:2020-10-25 22:37:57分类:黑客技术

简介在逻辑漏洞中,随意客户密码重置更为普遍,很有可能出現在会员注册网页页面,也可能是账号登录后重置登陆密码的网页页面,或是客户密码忘了时的密码找回网页页面,在其中,密码找回作用是高发区。我将平时渗入全过程中碰到的实例作了系统漏洞诱因剖析,此次,关心因重置凭据未校检造成的随意客户密码重置难题。密码找回必

在逻辑漏洞中,随意客户密码重置更为普遍,很有可能出現在会员注册网页页面,也可能是账号登录后重置登陆密码的网页页面,或是客户密码忘了时的密码找回网页页面,在其中,密码找回作用是高发区。我将平时渗入全过程中碰到的实例作了系统漏洞诱因剖析,此次,关心因重置凭据未校检造成 的随意客户密码重置难题。

密码找回必须辨别客户的合理合法真实身份,证实你就是你,一般有二种作法,一是网址将重置短信验证码发至客户关联的邮箱或手机号码,客户持重置短信验证码证实你就是你,二是客户输入支付密码维护难题相匹配的回答。在其中,短信验证码、密保问题回答便是重置登陆密码的关键凭据。

在平时对密码找回作用的进攻中,我的绝大部分活力聚焦点在是不是能够爆破短信验证码、是不是能够被劫持验证码接收的手机号码或邮箱、是不是能够搞混重置别的账户、是不是能够绕开认证流程、乃至是猜想重置 token 的形成规律性等拒绝服务攻击上,反倒忽视了最非常容易、最少科技含量的一种方法——服务器端未校检重置凭据。换句话说,无论你键入的重置短信验证码或密保问题回答是不是恰当,要是要求文件格式准确无误,均可取得成功重置随意账户密码。我举2个真实案例(系统漏洞均已恢复,就不打码了),你体会下。

实例一:因服务器端未校检 token 造成 可重置随意账户密码

密码找回网页页面 http://www.omegatravel.net/users/retrievePassword 用网络攻击账户 yangyangwithgnu@yeah.net 进到密码找回全步骤,键入图形验证码后递交:

1.png

接着接到带 token 的密码重置连接的电子邮件:

2.png

在其中,key:FqvICT 和 userEmail:yangyangwithgnu@yeah.net 造成了我的留意。一切正常而言,递交该 URL 后,服务器端会校检 key 与 userEmail 是不是搭配,若搭配则进到递交密码网页页面,若不搭配则出错。如今,我试着将 key 从 FqvICT 改成 xxxxxx 后再浏览,原本心理状态预估将见到出错网页页面,想不到进入了密码递交网页页面,难住说白了的重置 token 只是是个摆放?

赶快找一个账户试一下,就拿信息收集时寻找的 travel24@omegatravel.net 为例子(大量后台管理账户见后文)。参考前边接到的重置连接文件格式,简易组装为 http://www.omegatravel.net/users/retrievePasswordReset/key:xxxxxx/userEmail:travel24@omegatravel.net,是滴,key 的值我随意写的,浏览看一下,哇,竟然确实进入了密码递交网页页面:

4.png

键入密码 PenTest1024 后递交,网址提醒“更改密码取得成功”。试着用 travel24@omegatravel.net/PenTest1024 登陆,取得成功进到系统软件:

5.png

怎样获得别的账户?从注册网页得知,该网址只有用邮箱申请注册,邮箱即账户。我关注普通顾客和內部职工客户两大类账户(即邮箱)。普通顾客的邮箱字典层面,把中国人普遍姓名拼音 top500 融合普遍邮箱后缀名(@qq.com、@163.com 这些)迅速形成个简易邮箱字典;內部职工的邮箱层面,我在该网址注册域名记录查询到手机联系人为 omegait@omegauk.net,表明该企业应用 @omegauk.net 的邮箱后缀名,跟上面一样,把中国人普遍姓名拼音 top500、普遍后台管理账户,融合 @omegauk.net 邮箱后缀名,迅速生邮箱字典;此外,从“在线留言”、“诚聘英才”、“公司概况”等网页页面寻找很多內部职工邮箱和合作方邮箱,如 info@jadetravel.co.uk、info@ukchinese.com 这些:

7.png

将之上几种邮箱字典存为 mail.txt 也就是用户名。

那样,我不但能够重置一般账户的登陆密码,还能被劫持很多內部职工、合作方的账户,为防止危害业务流程,已不操作过程。

实例二:可枚举类型无密保问题的用户名,造成 随意密保问题回答均可重置登陆密码

在密码找回网页页面 http://www.hzpzs.net/u_findPassword.asp 键入合理用户名 yangyangwithgnu 后阻拦要求包

8.png

猜想该数据文件用以用户名实效性校检,放到 repeater 中剖析。

因为不起作用图形验证码,造成 可枚举类型合理用户名,发觉三类状况。一是,用户名存有且设定过密保问题,回复相近:

10.png

二是,用户名存有但未设定密保问题,回复相近:

11.png

三是,失效用户名,则回复相近:

12.png

用普遍用户名和我们中国人姓名拼音做为字典开展枚举类型,在全部結果中过虑显示信息带有关键词的回复,获得的全部 UserName 变量值即是未设定密保问题的用户名。如:aaron、admin、adolph、alisa、chenchen、esther、jones 这些。

按一切正常步骤,对 chenxin 开展密码重置,键入随意密保问题回答均可重置登陆密码:

13.png

结构加固对策

密码重置凭据一定要严苛校检,空密保问题时严禁根据密保问题找回账号密码;服务器端应限定枚举类型等故意要求。此外,抽打开发者,皮鞭放盐。

《原文:任意用户密码重置(四):重置凭证未校验》

上一篇EMOTET应用一次性C2网络服务器下一篇对于根据Android的当代智能机的高級SMS互联网中间人攻击

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句