zoukankan      html  css  js  c++  java
  • 云来重置任意用户密码

    云来专注于移动互联网,是中国最大的移动APP云服务提供商,产品及业务范畴主要包括云来轻APP、云来移动APP、移动APP云服务、移动APP云平台等。通过符合移动互联网用户思维习惯的产品设计和极致的用户体验,为企业提供基于云端智能技术的低成本的行业商业移动化解决方案,为企业打造最具信任力的移动互联网精准营销服务。

       

    电子商务网站:http://www.liveapp.cn/

       

    最近比较火的场景应用,轻app大都出自于云来之手,其产品被应用于各大互联网产商。

    0x001.

    在其找回密码页面,输入找回邮箱时会通过ajax自动验证是否存在该邮箱,

    然后点击提交。

    邮箱收到重置密码邮件

       

    0x002.

    由此可知:

    一、有效期为2个小时。二、重置页面字符串:

    MTI1MjcxJTNGYWN0JTNEZmluZCUyNmVtYWlsX3RtJTNEMTQzMjA5NTE4NA==

    拿去base64解码下:

    125271%3Fact%3Dfind%26email_tm%3D1432095184

       

    2部分组成,125271 是用户ID号,也就是数据库的自增id号。后面的1432095184 UNIX时间戳。

       

    Unix时间戳我们很容易就能弄到,而用户id6位数,岂不是很容易爆破出来。

       

    POC

    先来获得unix时间戳准备2个页面,(由于他官网要避免缓存当你进入

    My.liveapp.cn时候会location

       

    http://my.liveapp.cn/admin/user/login?from=%2F&t_=1432179156

    后面就是unix时间戳)

    当点击提交后,马上在另外一个页面进入他网站,多次测试发现相隔1秒,于是我们拿到进入网站的unix时间戳减去1就得到了我们要的时间戳 1432179308也就是1432179307

       

    接下来就是生成字典了。这里我写了个php页面来生成。。。替换掉unix时间戳,

    (那个143270是我新注册一个号,找回密码得到的最大值)

    拿到字典之后我用txt文本分割器分割了30份。

    写了个bat进行暴力测试。

    如果测试成功,会在目录下生成 r*.txt 结果页面

    没多久就爆出来了

    生成r0027.txt打开去访问下。

    直接到重置密码页面

    安全盒子原创文章:转载请注明安全盒子SecBox.c

  • 相关阅读:
    MySQL之LEFT JOIN中使用ON和WHRERE对表数据
    Mysql索引分类
    个人发展战略(二)
    个人发展战略(一)
    List的add方法与addAll方法的区别、StringBuffer的delete方法与deleteCharAt的区别
    职业理财规划
    Servlet简介与Servlet和HttpServlet运行的流程
    Ajax的get、post和ajax提交
    Ajax方法
    监听器随笔
  • 原文地址:https://www.cnblogs.com/h4ck0ne/p/5154665.html
Copyright © 2011-2022 走看看