在逻辑缝隙中，恣意用户暗码重置最为常见，或许出现在新用户注册页面，也或许是用户登录后重置暗码的页面，或许用户忘掉暗码时的暗码找回页面。其间，暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成因剖析，这次，重视因重置凭据走漏导致的恣意用户暗码重置问题。
事例一
用邮件找回暗码时，作为重置凭据的验证码在 HTTP 应对中下发客户端，抓包后可容易获取。先用攻击者账号走一次暗码找回流程，测验账号 yangyangwithgnu@yeah.net 选用邮箱找回暗码：

点击获取校验码后抓取如下应对：

其间，VFCode 从字面了解很或许是校验码。登录邮箱检查网站发过来的暗码找回邮件：

发现两者共同，那么，简直能够承认服务端将暗码找回的校验码走漏至客户端，可导致恣意账号暗码重置问题。
测验找回一般账号的暗码。暗码找回主页输入邮箱后，体系将当即校验该邮箱是否注册：

将 UName 参数界说为枚举变量，以常见 qq 邮箱作为字典，可枚举出多个有用邮箱：

以 chenwei@qq.com 为例，在应对包中找到校验码，成功将其暗码重置为 PenTest1024，验证可登录：

测验找回管理员账号的暗码。从该网站的域名注册信息中找到联系人的邮箱为 fishliu@xxxx.cn，可估测后台用户的邮箱后缀为 @xxxx.cn，所以，用常见后台用户名简略调整可构造出后台用户邮箱字典，枚举出很多后台用户：

同理可重置这些后台用户的账号暗码，为防止影响事务，不再实际操作。
事例二
用邮件找回暗码时，带凭据的重置链接走漏至客户端，抓捕可获取。用攻击者账号走一次暗码找回流程。在找回暗码页面输入攻击者账号及其邮箱（yangyangwithgnu、yangyangwithgnu@yeah.net）后提交：

阻拦如下应对：

显然是个重定向，isVerify、PassPhrase 这两个参数很可疑，后续交互中应留心，先放包，进入发送重置邮件的页面，输入验证码后提交。登录攻击者邮箱检查重置邮件：

这个带 token 的重置链接似曾相识，对，便是前面抓包获取的 token 信息，比对看下：
forgotPwdEa.php?isVerify=eWFuZ3lhbmd3aXRoZ251fHlhbmd5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8
forgotPwdEc.php?isVerify=eWFuZ3lhbmd3aXRoZ251fHlhbmd5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8
仅有差异 forgotPwdEa 和 forgotPwdEc 两个文件名。
接下来验证经过服务端走漏的 token 能否重置一般用户的账号暗码。从重置流程可知，要重置暗码有必要供给用户名及其邮箱（或手机号）。
获取有用用户名。注册页面中，输入用户名后当即校验该用户名是否被占用：

对应恳求、应对如下：

用户名已存在回来 failed，不存在回来 ok。以此特征，用常见国人名字字典，可枚举出很多有用用户名（如 chenchuan、chenanqi、chenanxiu、zhangfeng 等等），存为 username.txt。
获取有用用户名对应邮箱。暗码找回主页提交的恳求中，user_name 与 email 参数匹配情况下，HTTP 应对代码为 302，交互包如下：

[1] [2]  黑客接单网