流量解密并挖掘出任意密码重置漏洞
发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
团队成员首发于:https://bbs.ichunqiu.com/thread-63328-1-1.html 在某次项目中遇到了一个请求包与返回包数据加密的情况。相信各位在平常也可能会遇到,随写下此文与诸君分享(请原谅厚码) 0X01正文 我们先随便找一处功能点在下断点前我先抓个包给你们看看 平常遇到了是不是就想放弃了?莫慌,待我操作一番。 我们先在功能中下个断点 点击获取验证码 可以发现已经在断点处暂停了 分别为 继续执行F8 跳过下一个函数调用F10 进入下一个函数调用F11 跳出当前函数SHIFT+F11 单步调试F9 这里我们直接先跳到下个函数调用 一直F10一直到看起来像加密的函数 从名字上看就可以知道这是个DES加密 跟进去看看 这里直接就知道了。这个网站是用DES加密,模式为ECB padding为Pkcs7以及key的值。并且加解密函数也都有了,也就不用继续再跟了。 我们用console控制台调试一下 可以发现成功解密了 再试试调用下加密模块 可以发现是一样的。 那么这个网站的加密对于我们来说跟没有是一样的了,似入无人之境。我们再解密下刚才的返回包看看说了什么 可以发现也成功的解密了出来。 一般这种加密的网站只要能解密出来就很容易存在些漏洞。of course这里也是有滴。 我就直接开讲了,不多逼逼废话了。 这里我们来到修改密码的功能点 有一个很经典的resetPwdstep1.jsp 尝试改成2看看 可以,很经典。不过就算这样抓包,我们还是不知道请求包该怎么构造(看上面就知道比较复杂)。我们先正常请求获取波构造 可以看到这里头待有个个加密data解密下看看 sjh000代表了手机号 yzm000则是验证码。不过问题不大。我们把验证码修改成000000看看 666直接注册成功了(其实经过测试。在resetPwdstep2.jsp下只要验证码不为空。任意六位数字都可以导致密码修改成功,也是醉了 ) 为了更方便点呢。其实直接抓修改密码的包进行重复发包即可(对于验证码的校验仅在step1) dlmm00是设置的密码 利用md5进行加密 LIKE THIS 而且在该注册处还存在用户枚举以及横向手机号短信轰炸漏洞,可以利用这个地方对已注册手机号进行枚举,然后搭配任意密码修改即可~~~ 0x02结尾 本次分享就到这里。 本文章仅供安全人员学习攻防技术,请勿用于任何非法行为!!! 文章来源:None安全团队 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END