torgwIB.g&un-2D-l2-D11-E35Twooyun.crg=■Bugs、UVoo^un-SDlJ-DI1720=+wdoyun.crg凸Elugi；凸ooyun-2012-05630Twwfjn.crg>Rugj>7^odsiin-20l'3-(>5ft210TtorgwIB.g&un-2D-l2-D11-E35Twooyun.crg=■Bugs、UVoo^un-SDlJ-DI1720=+wdoyun.crg凸Elugi；凸ooyun-2012-05630Twwfjn.crg>Rugj>7^odsiin-20l'3-(>5ft210TwoGjwn.aro>Bugs>Wcoyun-201M3140Tt?今口內(nèi)門58?Bu^t？WDOyun-Jd1M32313t?ttaD/ufiorg=Bug;?Wodjun-2D*14-C￡03T^;Twooyufi.bgis日國；0MV4E^'un-2QW-CS2E-82鼻wco;/un.EFgsEIl^s3Woayun-2Dl5-0Sa927fwcrti^un.Erg>lBwm>Woayun-SDlO-OTBSOfl->w&a^>iDuga>Woayur-2010-Q9S036tMmyuner白>Bugs>WaoyLn-2D1"-02053.2*wuttyun.crg+Bl加+W?yun-2Dl5-Q95729TWD^unorg>日/「=WMyur-2D1?4-335￡^1用戶憑證暴力破解Tw-ca3'unerg>Eugc>IV口口yun-卻1U-。而TwcH>Y日寓:>woDjun-2Q10-D(33saoCi［占退區(qū)沮佳檢口行一TWDnyun.crq>Buqm>Ww/un-2D10-<]fi5124事的區(qū)褪的ei;!5網(wǎng)于Tw-a&yun.argi%E!@3M￥?Dryun-2012-Q-E3B3-\◎一芬黑時(shí)H更于WQD/unerg>Hug;>WoEj-un-2D15-C302213T說ygri■口?日匹，kWooyun-201fl-Q53545*＞客-方更工晅蚯于］t由的yufiarg*B地e7Waoyun-2010-M3DT3[Tw-soyLUarg>E.e>Wooyun-2Dia-020D22\■虹利于7w-CKHi'unarg>Bugss-Waoyun-2012-0124721d［，帝三置室至tabun虹于targ>Eugg?Wociyun-2D1Q-OTf30￡Tw&niuri.Brn>Buqs>Wccjajn-2C]1208207』wunyun.Drg'Bugs=■Woayun-2D13-0?42420x03詳情四位或者六位的純數(shù)字例子WooYun:當(dāng)當(dāng)網(wǎng)任意用戶密碼修改漏洞0x01密碼找回邏輯測試一般流程■首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數(shù)據(jù)包■分析數(shù)據(jù)包，找到敏感部分■分析后臺找回機(jī)制所采用的驗(yàn)證手段■修改數(shù)據(jù)包驗(yàn)證推測0x02腦圖WooYun:微信任意用戶密碼修改漏洞返回憑證url返回驗(yàn)證碼及token例子WooYun:走秀網(wǎng)秀團(tuán)任意密碼修改缺陷WooYun:天天網(wǎng)任意賬戶密碼重置（二）密碼找回憑證在頁面中通過密保問題找回密碼例子WooYun:sohu郵箱任意用戶密碼重置返回短信驗(yàn)證碼例子WooYun:新浪某站任意用戶密碼修改（驗(yàn)證碼與取回邏輯設(shè)計(jì)不當(dāng)）郵箱弱token時(shí)間戳的md5例子WooYun:奇虎360任意用戶密碼修改漏洞用戶名&服務(wù)器時(shí)間WooYun:中興某網(wǎng)站任意用戶密碼重置漏洞（經(jīng)典設(shè)計(jì)缺陷案例）用戶憑證有效性短信驗(yàn)證碼例子WooYun:OPPO手機(jī)重置任意賬戶密碼（3）WooYun:第二次重置OPPO手機(jī)官網(wǎng)任意賬戶密碼（秒改）WooYun:OPPO修改任意帳號密碼郵箱token例子WooYun:身份通任意密碼修改-泄漏大量公民信息重置密碼token例子WooYun:魅族的賬號系統(tǒng)內(nèi)存在漏洞可導(dǎo)致任意賬戶的密碼重置重新綁定手機(jī)綁定例子WooYun:網(wǎng)易郵箱可直接修改其他用戶密碼WooYun:12308可修改任意用戶密碼郵箱綁定例子WooYun:某彩票設(shè)計(jì)缺陷可修改任意用戶密碼WooYun:中國工控網(wǎng)任意用戶密碼重置漏洞服務(wù)器驗(yàn)證最終提交步驟例子WooYun:攜程旅行網(wǎng)任意老板密碼修改（慶在wooyun第100洞）服務(wù)器驗(yàn)證可控內(nèi)容例子WooYun:AA拼車網(wǎng)之任意密碼找回2WooYun:四川我要去哪517旅行網(wǎng)重置任意賬號密碼漏洞服務(wù)器驗(yàn)證驗(yàn)證邏輯為空例子WooYun:某政企使用郵件系統(tǒng)疑似存在通用設(shè)計(jì)問題用戶身份驗(yàn)證賬號與手機(jī)號碼的綁定WooYun:上海電信通行證任意密碼重置賬號與郵箱賬號的綁定例子WooYun:魅族的賬號系統(tǒng)內(nèi)存在漏洞可導(dǎo)致任意賬戶的密碼重置WooYun:和訊網(wǎng)修改任意用戶密碼漏洞找回步驟跳過驗(yàn)證步驟、找回方式，直接到設(shè)置新密碼頁面例子WooYun:OPPO手機(jī)同步密碼隨意修改，短信通訊錄隨意查看WooYun:中國電信某IDC機(jī)房信息安全管理系統(tǒng)設(shè)計(jì)缺陷致使系統(tǒng)淪陷本地驗(yàn)證在本地驗(yàn)證服務(wù)器的返回信息，確定是否執(zhí)行重置密碼，但是其返回信息是可控的內(nèi)容，或者可以得到的內(nèi)容例子WooYun:看我如何重置樂峰網(wǎng)供應(yīng)商管理系統(tǒng)任意用戶密碼（管理員已被重置）WooYun:oppo重置任意用戶密碼漏洞（4）發(fā)送短信等驗(yàn)證信息的動作在本地進(jìn)行，可以通過修改返回包進(jìn)行控制例子WooYun:OPPO修改任意帳號密碼-3WooYun:OPPO修改任意帳號密碼-2注入在找回密碼處存在注入漏洞例子WooYun:用友人力資源管理軟件（e-HR）另一處SQL注入漏洞（通殺所有版本）Token生成token生成可控例子WooYun:天天網(wǎng)任意賬號密碼重置（非暴力溫柔修改）WooYun:天天網(wǎng)再一次重置任意賬號密碼（依舊非暴力）注冊覆蓋注冊重復(fù)的用戶名例子WooYun:中鐵快運(yùn)奇葩方式重置任意用戶密碼（admin用戶演示）session覆蓋例子WooYun:聚美優(yōu)品任意修改用戶密碼（非爆破）附腦圖文件：密碼找回漏洞挖掘.zipWooYun:微信任意用戶密碼修改漏洞同樣問題產(chǎn)生在重置用戶密碼的環(huán)節(jié).在微信官方的首頁上發(fā)現(xiàn)新增了如下功能模塊忘記了微信帳號或密軍號在干機(jī)I-不裁徼信試一試在網(wǎng)頁-臂錄徵信訪問后看到這個功能.來了興趣重設(shè)微信密碼溫餐提示；如果把使用QQ號注冊微信，您可以直接用QQ號+QQ君嗎連錄。如果您便用且?guī)ぷ韵?，想可?：一嘮門是您運(yùn)噬寸;■手包號登號微弓,或者您的生甥居版:了手機(jī)，想邛4使用手倒導(dǎo)也成期國弦月*他用那婚地址盍W岑招羽果若的微茜1瞬已經(jīng)綁定了麗箱,您可以費(fèi)用已卷證中生!尸箱均出本設(shè)想的密碼在這個頁面輸入一個已經(jīng)注冊了微信的手機(jī)號.得到如下提示

重設(shè)微信密碼您的手機(jī)將會w倒一條帶苣建證碼的擔(dān)佶,如果您已曲到短信，請檢查短信中提供的瞼證碼，并進(jìn)行F一步操作。如果您長時(shí)間沒有收到短信，請考■試重新獲取短於”亂已收到驍記百盾重新獲取臉證短信亂已收到驍記百盾重新獲取臉證短信WWW.選擇我已收到驗(yàn)證碼就跳轉(zhuǎn)到一個修改密碼的頁面,如下重設(shè)微信密碼您的手機(jī)號86OMBBBBMHO新密碼重要輸人新密碼驗(yàn)證碼1234OKwww.wooy^在這一步抓包.得到如下包文區(qū)域

check=false&phonet=w_password_phone&isemail=0&valuemethod=reset&country=A86&getmethod=web&password=zzzzzz&password2=zzzzzz&verifycode=1234將包文中的verifycode進(jìn)行重復(fù)提交后發(fā)現(xiàn)會提示卜<!—method:reset<br/>r&tcode:7<br/>—xd\vclass=1Tps_ccnn><c<h3￡g55二十_匚口門'您的提交請求過于頻繁,請幫后南齪MW曲呼UHpOTg這樣的話.就要想辦法去突破.經(jīng)過一系列嘗試后發(fā)現(xiàn)如果在phone號碼后面添加不為數(shù)字的字符時(shí)，可以繞過此限制.于是推理出其判斷方法如果phone嘗試次數(shù)大于閥值，則提示請求過于頻繁但在這一步之前沒有對phone進(jìn)行提純.所以可以將特殊字符帶入但在下一步的時(shí)候進(jìn)行了提純.只取了phone中的數(shù)字部分.然后在取出此號碼的verifycode進(jìn)行比對.比對成功則修改密碼

修改密碼成功.這個地方的薄弱環(huán)節(jié)在于微信重置密碼的驗(yàn)證碼為4-5位純數(shù)字.且數(shù)字范圍在1000-20000之間也就是說.我只要嘗試19000次.我用50個線程發(fā)包.3分鐘即可成功修改一個密碼.WooYun:走秀網(wǎng)秀團(tuán)任意密碼修改缺陷進(jìn)入秀團(tuán)登陸處，點(diǎn)忘記密碼，選擇手機(jī)號重設(shè)

/account/repass.php輸入帳號的手機(jī)號碼，點(diǎn)擊獲取驗(yàn)證碼，此時(shí)注意抓包，或是使用firefox的firebug查看請求鏈接，將發(fā)現(xiàn)驗(yàn)證碼出現(xiàn)。。。靜千<》制THTMLCSSKfc口0W_|鼻〒[poldesthl清除|根持|郎有HTMLCSSJSXHR圉片F(xiàn)lash煤席URL^時(shí)回會.I岳武松已通串.星面板僦符版的任何諳苗都不會停五示.-lrtlp:/JtuaFi.：KiUrCOiEjBijaDj￡in￡,pjh口？aiction二u?rre泄融mobile二J—H，€Hfycode=[gQi7&time=(L57：LZ45&843J74n5Z會黃頭信息哨也裳存HTMLJSCNCCMikiS屯包頭惜息ExpiresDatePragmaCadie-<OTtrolContent-TypeTiranster-Encoding屯包頭惜息ExpiresDatePragmaCadie-<OTtrolContent-TypeTiranster-Encodingwww.wooyunorgTh129Mbl-2C12O￡:02:llGHTIh%國War2C1206:02:11GM：nD-c￡cieiin-EtDre：nD-cachewww.wooyunorg直接輸入驗(yàn)證碼即可修改密碼。。。WooYun:sohu郵箱任意用戶密碼重置可通過搜狐登錄頁中的找回密碼功能，再點(diǎn)擊下面的“網(wǎng)上申訴”，在申訴頁面的源代碼里，不但有密碼提示問題，Hide表單里竟然泄露問題答案，可獲得任意用戶修改密碼問題答案，從而輕松修改任意用戶郵箱密碼■HI身斷E身我領(lǐng)通仃證pd&與偽證復(fù)E「件強(qiáng)d搜狐通行證①輸入通行證賬號迷悌找回方式國忘記所有密碼俁護(hù)信圖片是用webmaster@用戶獲得的信息，當(dāng)然我沒有修改他的密碼WooYun:新浪某站任意用戶密碼修改（驗(yàn)證碼與取回邏輯設(shè)計(jì)不當(dāng)）問題網(wǎng)站/【新浪二手房】在主站登錄處點(diǎn)擊登錄戶白白青靜。新浪二手房房產(chǎn)經(jīng)紀(jì)人耳母的g產(chǎn)等汜A.弭麥:星迪一帖有位！哥號認(rèn)證唐大聯(lián)展火朋諧斤中I百度一手房ffKWJgs和曉白占0tfHMftewetecfenaiDafn隨后點(diǎn)擊忘記密碼在/login/findpassword界面輸入用戶名時(shí)抓包可以看到返回?cái)?shù)據(jù)中含有該用戶的手機(jī)號通過解密，得到此用戶shenzhen的手機(jī)號為182****7672在密碼找回處輸入解密后的手機(jī)號，并點(diǎn)發(fā)送驗(yàn)證碼。再次抓包irtru”repQ31：prorp-InlensplcipUonslilErtn仃inlfudqrlapsajarwndDrirwiitiut4儂證】*電brokeriH任加53n~L5〃i3g；iV11nrfpa$%ward■183HMT672￡動且最好箭手上國E二建僅同拈=；同更快衣窿DffiTaken含EaayAD第a新浪二手房0垂C匚閹▼亙理UIM*―戶LaIburpprufriwnalvl.-4.D7-liwmedtuOrskorHu『indErs『hei~|IKrTT/l.1￡□□ORaarwE!ttgDate;Fri,26Nov201409;2fi;31GUTGonxeDD-Typer匕曰tfhtmlComuecizLan]teep-ailveVary:Acrcept-EncradlngIKrites!Tim,LBWav19ELaa.SZlDO-j-HTPragnia:ivo-effi^hc-CachE-roritro1;private,Rgt-i■己匚^lidbstEBITT^id；H1?srv-ld;47,ZanT-euG-Leng^biIErRgDons^rnntrtto.,^rcceraftsinecumm方電：找回密碼鱉錄靶號IshenzfieniurwarddroD師便（歸