任意賬號(hào)密碼重置的6種方法

1、原理

通過手機(jī)找回密碼，響應(yīng)包中包含短信驗(yàn)證碼

2、案例

某網(wǎng)站選擇用手機(jī)找回密碼：

點(diǎn)擊發(fā)送按鈕，攔截回包，可以查看到短信驗(yàn)證碼，如下圖所示：

3、修復(fù)建議

響應(yīng)包中去掉短信驗(yàn)證碼

二、修改用戶名、用戶ID或手機(jī)號(hào)重置任意賬號(hào)密碼

1、原理

通過手機(jī)找回密碼是一般需要短信驗(yàn)證碼驗(yàn)證（這里可以嘗試爆破或繞過）。當(dāng)我們輸入正確的手機(jī)號(hào)和正確的短信驗(yàn)證碼，然后進(jìn)入重置密碼的最后一步，也就是輸入新的密碼輸入密碼后提交到服務(wù)端的post數(shù)據(jù)包需要包含當(dāng)前用戶的身份信息。

而一般網(wǎng)站是通過用戶名或用戶ID來標(biāo)識(shí)用戶身份的，如果這個(gè)用戶名或用戶ID沒有和當(dāng)前手機(jī)號(hào)、短信驗(yàn)證碼進(jìn)行綁定；

也就是說服務(wù)端只驗(yàn)證用戶名、ID是否存在，而不去驗(yàn)證用戶和當(dāng)前手機(jī)號(hào)是否匹配，那么我們就可以通過修改用戶名、ID去修改其他用戶的密碼了。

當(dāng)然可以修改的地方不限于找回密碼的數(shù)據(jù)包，比如修改資料的地方也可能存在這樣的漏洞。

2、案例

以某網(wǎng)站修改任意用戶資料導(dǎo)致修改任意賬號(hào)密碼為例，截取的數(shù)據(jù)包為：

POST /user/info_do HTTP/1.1Host: www.XXX.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:59.0) Gecko/20100101 Firefox/59.0Accept: */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.XXX.com/user/info_viewContent-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequestContent-Length: 211Cookie: yunsuo_session_verify=9341a54b945886e9485ff54a17650468; PHPSESSID=sgbibaqe7f8f6okerps8jip916; sdrcUserlockcount=1; sdrcUseruserid=14943Connection: keep-alive
password=A123456&email=1%40qq.com&address=1&postcode=1&mobile=13888888888&sex=man&birthday=0000-00-00°ree=collegeLT&testsite=1&post=1&__hash__=b0b15b067dea00bd34fd39421b7ef684_efc2399e5c4b2071f261e75fe3362d4fa

經(jīng)分析與嘗試，發(fā)現(xiàn)數(shù)據(jù)包中的sdrcUseruserid的值是用來標(biāo)識(shí)當(dāng)前用戶身份的，那么我們就想到這個(gè)id可否任意修改呢？

答案是肯定的，我們修改id的值為14942、14941都是可以成功的，截圖如下：

3、修復(fù)建議

用戶操作個(gè)人信息（讀取、修改）時(shí)，服務(wù)端要對(duì)當(dāng)前用戶身份進(jìn)行驗(yàn)證，防止越權(quán)操作；

用來標(biāo)識(shí)用戶身份的名稱或ID可以使用自定義加密，也可以隱藏這些參數(shù)，直接從cookie中獲取用戶信息；

用戶修改密碼時(shí)應(yīng)該先對(duì)舊密碼進(jìn)行驗(yàn)證，或者使用手機(jī)短信驗(yàn)證；

用戶修改手機(jī)號(hào)時(shí)需要先對(duì)原手機(jī)號(hào)進(jìn)行驗(yàn)證。

三、修改響應(yīng)包重置任意賬號(hào)密碼

1、原理

通過手機(jī)找回密碼一般需要短信驗(yàn)證碼驗(yàn)證，服務(wù)端需要告訴客戶端，輸入的驗(yàn)證碼是否正確。

如果客戶端收到true的信息，那么就會(huì)向帶著true的信息向服務(wù)端請(qǐng)求進(jìn)入下一步，而服務(wù)端收到true的信息，就會(huì)允許客戶端進(jìn)入下一步。

反之，如果是false的信息，服務(wù)端就不會(huì)允許客戶端進(jìn)入下一步。

也就是說我們進(jìn)入下一步的關(guān)鍵是讓服務(wù)端收到客戶端的true信息。

而借助burpsuite，我們可以修改服務(wù)端返回到客戶端的信息，這樣一來，我們就可以輸入任意短信驗(yàn)證碼，然后將服務(wù)端返回的false信息改為true就可以繞過短信驗(yàn)證碼的驗(yàn)證了。

2、案例

下面是找回密碼的一個(gè)流程，輸入正確的用戶名，跳到第二步，這時(shí)需要輸入短信驗(yàn)證碼，這里我們隨意輸入一個(gè)短信驗(yàn)證碼：123456，然后抓取服務(wù)端返回的信息如下所示。

把回包中false改為true后，即可繞過短信驗(yàn)證碼驗(yàn)證，結(jié)果如下圖所示。

3、修復(fù)建議

服務(wù)端對(duì)驗(yàn)證碼進(jìn)行驗(yàn)證，結(jié)果為true時(shí)直接跳到下一步，無需向客戶端單獨(dú)返回驗(yàn)證結(jié)果；

輸入新的密碼，然后提交到服務(wù)端，服務(wù)端應(yīng)對(duì)當(dāng)前用戶名、手機(jī)號(hào)、短信驗(yàn)證碼進(jìn)行二次匹配驗(yàn)證，都為true時(shí)，才可以修改成功。

四、跳過驗(yàn)證步驟重置任意賬號(hào)密碼

1、原理

找回密碼流程一般需要四個(gè)步驟：

1、驗(yàn)證用戶名；

2、驗(yàn)證短信驗(yàn)證碼；

3、輸入新密碼；

4、重置成功。

這四個(gè)步驟應(yīng)該緊緊相連，互相相關(guān)，只有通過了第一個(gè)步驟驗(yàn)證才可以進(jìn)入下一個(gè)步驟，如果每個(gè)步驟之間沒有進(jìn)行關(guān)聯(lián)性驗(yàn)證，就可能導(dǎo)致跳過關(guān)鍵驗(yàn)證步驟，從而導(dǎo)致重置任意賬號(hào)密碼。

2、案例

某網(wǎng)站找回密碼有四個(gè)步驟，第一步輸入正確的用戶名，第二步輸入手機(jī)號(hào)和正確的驗(yàn)證碼，截取服務(wù)端返回的數(shù)據(jù)包為：

object moved to here.

上述數(shù)據(jù)包是用來跳轉(zhuǎn)到輸入密碼的界面。

我們猜想能否輸入任意驗(yàn)證碼，然后直接訪問輸入密碼界面，結(jié)果是可以的，而且重置密碼成功了。

經(jīng)分析，此處成功的關(guān)鍵是頁面跳轉(zhuǎn)到輸入密碼界面，當(dāng)我們輸入新的密碼后，提交到服務(wù)端，服務(wù)端并沒有對(duì)當(dāng)前用戶身份進(jìn)行二次驗(yàn)證，只是簡單的獲取到用戶名或ID以及新密碼，從而導(dǎo)致跳過短信驗(yàn)證碼驗(yàn)證重置任意賬號(hào)密碼。

3、修復(fù)建議

每一個(gè)步驟都要對(duì)前一個(gè)步驟進(jìn)行驗(yàn)證；

最后提交新密碼時(shí)應(yīng)對(duì)當(dāng)前用戶名或ID、手機(jī)號(hào)、短信驗(yàn)證碼進(jìn)行二次匹配驗(yàn)證。

五、重置密碼鏈接中token值未驗(yàn)證或不失效導(dǎo)致任意賬號(hào)密碼重置

1、原理

使用郵箱重置密碼時(shí)，服務(wù)端向郵箱發(fā)送一個(gè)重置密碼的鏈接，鏈接中包含當(dāng)前用戶的身份信息（如用戶名或用戶ID）和一個(gè)隨機(jī)生成的token信息，如果未對(duì)token值進(jìn)行驗(yàn)證或是驗(yàn)證后不失效，我們就可以通過修改用戶名或用戶ID來重置任意賬號(hào)密碼。

2、案例

某網(wǎng)站使用郵箱找回密碼時(shí)，服務(wù)端向郵箱發(fā)送的鏈接為：

http://www.xxx.com/GetPwd.aspx?q=0x0531387a5a6c1227e4d6ba0ce16dc72e&r=3244166

經(jīng)嘗試，此處未對(duì)隨機(jī)生成的q值進(jìn)行驗(yàn)證或是驗(yàn)證了但是驗(yàn)證之后未失效，導(dǎo)致可以重復(fù)使用，最終只需要修改r為其他用戶ID，即可重置其他用戶密碼。

3、修復(fù)建議

服務(wù)端對(duì)客戶端提交的token值進(jìn)行驗(yàn)證；

保證token值使用一次后即失效，防止重復(fù)使用；

對(duì)用戶ID進(jìn)行自定義加密；

使用根據(jù)用戶ID生成的token值來標(biāo)識(shí)用戶，鏈接中不攜帶用戶ID。

六、找回密碼的短信驗(yàn)證碼可被爆破導(dǎo)致任意賬號(hào)密碼重置

1、原理

找回密碼時(shí)使用位數(shù)較少的短信驗(yàn)證碼，或者驗(yàn)證碼沒有設(shè)置有效時(shí)間限制，導(dǎo)致攻擊者借助自動(dòng)化工具在一定時(shí)間范圍內(nèi)爆破獲得短信驗(yàn)證碼，從而導(dǎo)致重置任意賬號(hào)密碼。

2、案例

某網(wǎng)站找回密碼時(shí)使用短信驗(yàn)證碼的一個(gè)數(shù)據(jù)包為：

Code=5000&u=13888888888&Check=dc5b94101cb4f23a9ce6ae71197fc5de&a=5

此處可以對(duì)Code進(jìn)行爆破，如下圖所示：

3、修復(fù)建議

驗(yàn)證碼滿足一定復(fù)雜度，且限制驗(yàn)證碼生效時(shí)間；

驗(yàn)證短信驗(yàn)證碼的數(shù)據(jù)包使用token值并驗(yàn)證，防止自動(dòng)化工具爆破

審核編輯：湯梓紅