在逻辑缝隙中，恣意用户暗码重置最为常见，或许呈现在新用户注册页面，也或许是用户登录后重置暗码的页面，或许用户忘掉暗码时的暗码找回页面，其间，暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成因分析，这次，重视因用户稠浊导致的恣意用户暗码重置问题。

暗码找回逻辑含有用户标识（用户名、用户 ID、cookie）、接纳端（手机、邮箱）、凭据（验证码、token）、当时过程等四个要素，若这几个要素没有完> doskey.exe /MACROFILE=hostshare 整相关，则或许导致恣意暗码重置缝隙。

---

事例一：通过 cookie 稠浊不同账号，完结重置恣意用户暗码。

暗码找回页面 https://my.xxxx.com/pwd，用侵犯者账号 yangyangwithgnu 走完暗码找回全流程。

输入用户名和图片验证码后提交：

验证为有用用户名后，系统供给手机、邮箱两种暗码找回 *** ，选用邮箱 *** ：

登录[INCLUDES]邮箱查收重置验证码：

输入重置echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionnetcache] >>2000.reg验证码：

进入新暗码页面，输入后提交，阻拦恳求如下：

其间，PHPSESSID=dcusc1ahkn4ioqeeav9c6e0bdq、USER_ACCOUNT=yangyangwithgnu、 USER_APPID=1092 这三个参数引起我的留心。这个恳求，用于重置账号 yangyangwithgnu 暗码，那么服务端怎么知道该重置 yangyangwithgnu 而不是 yangyangwithgnu2、yangyangwithgnu3 呢？方才说的那三个参数中肯定有一个用于该意图。逐个测验发现，PHPSESSID 便是它。

这让我闻到浓郁的 cookie 稠浊的滋味。大致侵犯思路：首要，用侵犯者账号 yangyangwithgnu 进入暗码找回流程，查收重置验证码、通过校验；然后，输入新暗码后提交，阻拦中止该恳求，暂不发至服务端，这时，PHPSESSID 相关的是 yangyangwithgnu 账号；接着，封闭浏览器的 burp 署理，新开重置流程的主页，在页面中输入一般账号 liuwei 后提交，这时，PHPSESSID 已相关成 liuwei 了；最终，康复发送之前中止的恳求，放至服务端，理论上，可以成功重置 liuwei 的暗码。

用上述思路测验将 liuwei 暗码重置为 PenTest1024，前端闪现重置成功：

测验用 liuwei/PenTest1024 登录：

成功进入系统：

同理可重置管理员账号 administrator，为避免影响事务，不再实际操作。

---

事例二：通过篡改恳求包中的用户名参数，完结重置恣意用户暗码。

暗码找回页面 http://www.xxxx.cn/getpass.html，用侵犯者账号走完暗码找回全流程，触及三步恳求，依次为：验证用户名是否存在、获取短信验证码、提交短信验证码和新暗码。第三步的恳求阻拦如下：

各参数效果从其命名可了解。测验将 accountname 参数值篡改为一般账号 zhangzhiqiang获取主机信息，一般包括磁盘、cpu、网卡、系统版别、设备的安全软件等信息，在这个样本中，也是运用zlib紧缩数据后进行发送的： 后放行，应对为：

重定向至登录页面。用一般账号 zhangzhiqiang/PenTest1024 登录成功。

查看个人信息：

走漏用户手机号、邮箱等灵敏信息。

查看视频监控设备列表：

视频监控设备登录信息：

登录后可查看实时视频监控，隐私考量，不截图了。

别的，暗码找回流程第三步的恳求中的 vcode 参数为短信验证码，单次有用，不行复用，怎么完结主动批量暗码重置？经测验，将该参数置空，或许完好删去该参数，服务端不再校验短信验证码。

综上，几个问题结合，可导致恣意用户暗码重置。

---

事例三：通过篡改带 token 的重置链接中的用户名，完结重置恣意用户暗码。

http://xx.xxxx.com/echannel/forgetPassword/ 为重置暗码页面。侵犯者用户 ID 为 42558。

输入侵犯者账号绑可是这也导致越来越多地被侵犯者乱用有用负载。定的邮箱后点击“承认”，收到如下带 token 的暗码重置链接：

该重置链接有两个当地引起我的留心：一是，NDI1NTg= 为 base64 编码，解码为 42558，正是侵犯者账号的用户 ID；二是，这是个 REST 风格的恳求。所以，测验用一般账号的用户 ID 的 base64 编码替换 NDI1NTg= 后，成功重置该一般用户的暗码。

特别留心，参数部份呈现 / 应想到这是 rest 风格的参数和参数值。

---

防护办法方面，必定要将重置用户与接纳重置凭据作一致性比较，一般直接从服务端直接生成，不从客户端获取。别的，暗码找回逻辑中含有用户标识（用户名、用户 ID、cookie）、接纳端（手机、邮箱）、凭据（验证码、token）、当时过程等四个要素，这四个要素有必要完好相关，不然或许导致恣意暗码重置缝隙。别的，HTTP 参数污染、参数未提交等问题，服务端也要严厉判别。

*本文原创作者：yangyangwithgnu，归于FreeBuf原创奖赏方案，制止转载

黑客技术宝典:恣意用户暗码重置（三）：用户混杂

Runtime exec = Runtime.getRuntime();

布景概述接着点击查看CPU窗口：# persistence任意用户密码重置（三）：用户混淆

黑客技术宝典MFTChangeTime记载MFT(Master File Table)的批改时间，假设文件特色改动，就会更新MFTChangeTime。 在恶意场景中，DeepLink tag有必要含有可以激活Icon tag（主payload）的指令行。POC中，研讨人员在Icon tag中放入和稠浊后的脚本，如图4所示。5、查看前史指令

2.Native Windows Binaries(13)遍历磁盘结束之后，然后通过ExitWindowsEx函数来重启主机。4. 验证整个系统的规划和设备是否正确黑客技术宝典

注册表信息取证价值纽卡斯尔大学的研讨团队现已和许多手机开发商反映该问题，两头而且进行深入探讨。不过标明用户无需太过于担忧，因为传感器数据比较难获取，而且74%的识别率建立在数百次破解程序操练之上。IT Security IT Security Universal, SecurityEnabled it-security@ruos.org内核空间便是操作系统自己工作的空间，工作在ring0特权等级，具有自己的空间，位于内存的高地址，而用户空间则是我们往常应用程序工作的空间，工作在ring3特权等级，运用较低地址。内核具有自己的栈，和用户空间的栈并不共用。

我们启用了许多权限，这儿只列出了现在存在的权限。当我们发起子进程的时分，它继承了parent进程的权限，这意味着假设我们发起一个运用程序将代码注入到一个特权进程，例如winlogon.exe，我们可以创建一个新的SYSTEM integrity cmd.exe：}

任意用户密码重置（三）：用户混淆

黑客技术宝典} 192.168.1.63 暗码 123456

pip install pycryptoapt-get instal git可以看到/etc/passwd 和 /etc/shadow 中都多了一行test。可是shadow中test的第二个子段是没有暗码的是两个!getRunningTasks需求运用权限android:name=”android.permission.GET_TASKS”黑客技术宝典

__except(1)

{version1}{edmins0}{nofpages1}{nofwords0}{nofchars0}{vern8351}}我们看到随意输入字符串都会闪现暗码正确，这说明程序在工作时优先加载了我们自己编写的程序。这也便是说假设程序在工作进程中调用了某个标准的动态链接库的函数，那么我们就有机遇通过LD_PRELOAD来设置它优先加载我们自己编写的程序，完结劫持。任意用户密码重置（三）：用户混淆

}分析LATENTBOT

留心：为了避免构成特权进步缝隙，我们建议在运用New-UprootLP指令前将uprootd.exe移动到C:Windowssystem32其一便是运用白名单，可是关于嵌入的签名的带参数可实行文件要非常留神了。例如许多微软数字签名东西就可以拿来作为其他内容的跳板，由所以微软的签名，或许你现在对那些签名是信认的不能再信任了。
本文标题:黑客技术宝典:恣意用户暗码重置（三）：用户混杂