登录密码重置漏洞分析溯源

访客4年前 (2021-04-16)黑客文章1009

0x01背景介绍

1、通过“朝阳群众”的举报，证实手机号“17101304128”在系统平台从事非法集资、诈骗活动。

2、请重置“17101304128”登录密码，以便登录获取完整的数字证据

访问靶场地址http://219.153.49.228:42336/

1615869825_60503781d9e82117a79be.png!small?1615869824651

通过所给信息，我们知道了是需要修改手机号17101304128的登录密码，那我们双击上图的“点击进入重置密码”，来到了重置密码的页面。

1615869848_60503798db553c8ed2eef.png!small?1615869847951

说明中提示了我们已经注了册的手机号为18868345809，那我们先使用这个号码来正常流程操作一遍

1615869890_605037c25a42d0e58ae1e.png!small?1615869889063

当我们点击获取的时候，出来了一个5分钟有效的验证码

1615869910_605037d6ba7426551b5c2.png!small?1615869909499

此时我觉得流程也是正常的，那我们使用17101304128这个手机号尝试一下正常的密码重置流程

1615869942_605037f61c78458646133.png!small?1615869940947

他说短信已发送至该手机，可是这手机号也不是我的呀，我并不知道验证码是啥。此时就可以大胆的猜想一下，它这个网站的逻辑会不会出现问题，只是统一验证输入的验证码是否是正确的，而没有对绑定的手机号进行校验。我们可以使用刚才得到的验证码863bTV来尝试重置，成功得到key值。

1615869993_6050382990cbc9afc3d1a.png!small?1615869992319

这个题目有点简单，大佬们看看就好。

标签: 登录密码重置漏洞分析溯源

返回列表

益禾堂奶茶深受消费者喜爱，自上市今后便成长的很好，一直都很顺利，原因是什么呢?益禾堂选用的都是新鲜的茶、牛奶和水果，建造的茶基底则选择的是上等自然的台湾原叶茶，从采摘再到炒茶，每一道工序都十分的考究。...

本文导读目录： 1、我的小米手机（M1）成砖机了，刷机软件跳出“启动qcCoInstaller.dll时出现问题找不到指定模块” 2、关于PSP3000刷机问题...100分 3、（高分悬赏）...

在做用户增长任务时，我们大概会以为进修了许多要领论一到实操时却发明难以落地，障碍重重。这是为什么？这是因为，用户增长的本质不是常识，而是技术。比起对增长黑客要领论的死磕，我们更需要的是学会对东西、流程...

笔记本散热器（笔记本散热器怎么选）以前笔记本电脑开机久了，总是出现很烫手的情况，还会导致运行速度缓慢，甚至出现蓝屏、死机的情况。不过自从使用了笔记本散热器之后，自己的电脑性能有了非常显著的提升。相信不...

cda格式（cda文件怎么打开）相信很多的朋友其实对于电脑里很多文件都不是很了解，但这种情况确实是能够理解的，这不，最近很多朋友有在问说cda是什么文件，cda文件用什么打开？下面，小编就来跟大家...

本文导读目录： 1、黑客们获取WiFi密码的方法 2、如何破解WIFI的密钥? 高手速来探讨 3、黑客怎么修改Wi-Fi密码 4、如何破解隔壁宿舍的无线网络 5、如何用台式电脑暴力破解...