常见登录、注册、密码修改处业务逻辑漏洞挖掘方法

gclome

原文链接：常见登录、注册、密码修改处业务逻辑漏洞挖掘方法

声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。


用户名枚举


网站反馈多余信息，可猜测用户信息。通过账号枚举攻击漏洞，攻击者可能可以获取到目标系统上存在的大量账号，从而再发起进一步的精准攻击，提高攻击效率

测试方法：
用不同的账户去登录，查看服务器响应是否有差异即可（查看页面、查看响应包等）
案例1（前端显示）：
在注册处可以任意输入信息，应用程序会明确返回是用户密码错误还是账户错误
​
​
​
案例2（数据包显示）：
首先抓取登录处的数据包，登录密码随便输
​
我们选择爆破账号后三位
​
如下图所示，返回包长度为194的是账号不存在的
​
返回长度为182的数据包则是存在的账号，在返回包中有一个 pwdErrMsg 的字段，显示该账户属于密码错误。
​



No.2 验证码不失效

验证码未设置失效时间和失效次数导致验证码可被遍历
测试方法：
通过枚举找到真正的验证码
案例：
抓取登录处的数据包，验证码任意填写
​
设置爆破验证码的后三位
​
如图所示，该处验证码没有在使用后立即失效，导致验证码可被遍历
​
成功爆破出验证码
​
No.3


验证码不生效
验证码不进行校验导致用户账户/密码可被爆破
测试方法：
抓取数据包不放，直接对关键字段进行爆破，看返回值是验证码错误还是账号密码错误
案例：
在登录处随意输入账号密码，点击登录并进行抓包
​
将数据包中的密码改为123456，并且爆破用户名（抓到的数据包不要放）
​
​
​
一共爆破了244次，每条数据包返回的都是用户名或密码错误，由此证明该登录处可进行撞库攻击，验证码未在后端进行刷新，所以只要将抓到的首次登录的数据包不放开，那么即可无限制进行撞库攻击。


No.4 验证码直接返回
验证码直接在客户端生产或者验证码直接在返回包中返回
测试方法：
直接输入目标手机号，点击获取验证码，并观察返回包即可。在返回包中得到目标手机号获取的验证码，进而完成验证，重置密码成功。
案例：
笔者并没有挖到过这类漏洞，相关案例可以查看
https://www.cnblogs.com/EEEE1/p/9865465.html

No.5 验证码未绑定用户
输入手机号和验证码进行重置密码时，仅对验证码是否正确进行了判断，未对该验证码是否与手机号匹配做校验
测试方法：
在提交手机号和验证码的时候，替换手机号为他人手机号进行测试，成功通过验证并重置他人密码。
案例：
首先使用自己的手机号进行重置，到最后一步输入密码的时候进行抓包

1. POST /Account/ResetPasscode HTTP/1.1
   
2. Host: www.xxx.xxxx.com
   
3. User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:66.0) Gecko/20100101 Firefox/66.0 Accept: \*/\* Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate
   
4. Referer: https://www.xxx.xxx.com/account/retrievepsw
   
5. Content-Type: application/json X-Requested-With: XMLHttpRequest
   
6. Content-Length: 72
   
7. Connection: close
   
8. Cookie: \_bfa=1.1556690636369.2d569l.1.1556690636369.1556690636369.1.20; \_bfs=1.20; \_RF1=123.55.157.246; \_RSG=\_wK2\_V43Y32KZJEGGTz1q8; \_RDG=284fa2b9920bcc249a1d7d156309def6f3; \_RGUID=20e20c47-ff09-4ebf-8d01-f5d4103938d4; \_bfi=p1%3D0%26p2%3D0%26v1%3D20%26v2%3D18; CarVBK=; code\_phone=\*\*\*\*\*\*\_2\_RKa1e/093V4=
   
9. {"LoginName1":"\*\*\*\*\*\*","PhoneCode":"250720","LoginPwd":"123456Ccc"}

复制代码

Cookie字段里的

code\_phone=\*\*\*\*\*\*\_2\_RKa1e/093V4=
****是要重置密码手机号，2表示进行重置，最后一个字段则对应验证码
现在我们将cookie中code_phone的手机号更改为13888888888
同时Post数据的LoginName1的值也更改为13888888888
发送数据包
​
尝试登陆
​
No.6 修改接收的手机或邮箱
用户名、手机号、验证码三者没有统一进行验证，仅判断了三者中的手机号和验证是否匹配和正确，如果正确则判断成功并进入下一流程。
测试方法：
输入用户名获取验证码，修改接收验证码的手机号为自己的号码，自己手机成功接收验证码，提交到网站进行验证，验证成功并进入下一流程。
案例：
该网站通过邮箱修改密码，可以修改任意用户密码
通过邮箱找回密码
​
点击重新发送邮件
​
拦截请求，修改成自己的邮箱
​
进入自己的邮箱，点击链接，修改成功
​
登陆两个账户看看
​
​
No.7 本地验证绕过
客户端在本地进行验证码是否正确的判断，而该判断结果也可以在本地修改，最终导致欺骗客户端，误以为我们已经输入了正确的验证码。
测试方法：
重置目标用户，输入错误验证码，修改返回包，把错误改为正确，即可绕过验证步骤，最终重置用户密码
案例1（绕过强制弱口令修改页面）：
我们使用账号：103035/123456尝试登录账号，登录时的返回包是pwdeasy，我们将返回包修改为success，即可成功绕过系统弱口令的强制密码修改页面直接进入后台
​
​
案例2（绕过验证机制直接登录）：
案例引用自：
https://mp.weixin.qq.com/s/TsUnDwtY5fxmuKrQ185MFA
我并不是特意在寻找验证码绕过的姿势，但是一个项目指出发现验证码绕过即可获得奖赏。
所以我开始寻找验证码最常见的地方，比如注册、登录和密码重置页面，我找到的那个是在登录页面。
​
​
如您所见，登录按钮已禁用，只有在我们点击“I‘m not a robot”之后才启用。
​
由于已禁用，因此我迅速右键单击了该按钮，然后单击了“检查元素”，并将禁用的参数更改为启用。
​
该按钮现已启用，我可以单击进行登陆。
​
因此，我输入了电子邮件和密码，并且无需单击“I’m not a robot ”即可登录。
成功ByPass验证码设置。


No.8 跳过验证步骤
对修改密码的步骤没有做校验，导致可以直接输入最终修改密码的网址，直接跳转到该页面，然后输入新密码达到重置密码的目的
测试方法：
首先使用自己的账号走一次流程，获取每个步骤的页面链接，然后记录页面对应的输入新密码的链接，重置他人用户时，获取验证码后，直接输入页面链接到新密码的界面，输入密码重置成功。
案例：
通过自己账号忘记密码发送邮箱修改密码地址
​
​
进入邮箱不要打开
​
在同浏览器内打开网站还是忘记密码输入要修改的账号
​
这一步后停住
​
在同一浏览器中打开发到我们邮箱的链接
​
一定同一浏览器输入要修改的密码就OK了
​
成功进入
​

No.9 修改密码处id可遍历
修改密码的时候，没有对原密码进行判断，且根据id的值来修改用户的密码
测试方法：
修改自己用户密码，抓取数据包，替换数据包中用户对应的id值，即可修改他人的密码。
案例：
该系统后台修改密码不需要验证原密码，且只通过id判断用户身份，id为1的是admin的账号，我们抓包修改密码时将id改为1即可成功修改admin的账号
首先先爆破出一个账户登录进去，然后点击修改用户
​
开启burp进行抓包。修改其id值
​
将其修改为任意id值，即可列出所有的用户信息
​
如图所示，只要我们将id=1就可以看到admin的信息了，且该处修改密码不需要验证原密码
​
点击修改密码，成功修改了admin的登录密码，同理也可以通过遍历userid值来任意修改他人的账户密码
​

No.10 Cookie值的替换

重置密码走到最后一步的时候仅判断唯一的用户标识cookie是否存在，并没有判断该cookie有没有通过之前重置密码过程的验证，导致可替换cookie重置他人用户密码。（cookie可指定用户获取）
测试方法：
重置自己用户密码到达最后阶段，抓到数据包，并在第一阶段重新获取目标用户cookie，替换cookie到我们抓取的数据包中，发包测试。
案例：
请参考第5条“验证码未绑定用户”的案例。

No.11 CSRF攻击
在修改密码时可以结合CSRF漏洞来尝试修改他人密码
测试方法：
漏洞URL：http://www.xxx.xxx.com/user.asp?action=editpass
在会员中心页面输入新的密码和确认密码
​
点击提交信息，然后抓包
​
看到了用户新修改的password，然后开始构造链接
当用户点击这个链接后就可以修改密码(这里由原来的POST请求改成GET请求)
http://www.xxx.xxx.com/user.asp?action=editpasssave&userpassword=456789&userpassword1=456789&submit=+%E6%8F%90%E4%BA%A4%E4%BF%A1%E6%81%AF+
为了使链接更具迷惑性，可采取缩短链接
生成的短链接后：http://xx.cn/AiObqni1
点击链接后，看到的页面
​
成功修改密码

No.12 短信轰炸
不断给用户发送短信，影响客户使用体验，并且消耗应用系统短信资源池。
测试方法：
在发送验证的的地方抓取数据包，如果能无限重放一直给一个手机号发送短信则是存在纵向短信轰炸；如果能够对手机号进行遍历，给许多手机号发短信则存在横向短信轰炸
案例1（横向轰炸）：
在发送短信验证码处修改手机号后两位，对手机号进行遍历
​
如图所示，均可以发送成功
​
案例2（纵向轰炸）：
在登录时，发送短信验证码的地方不断重放数据包就可以进行短信轰炸
​
​
No.13 SQL注入
构造恶意SQL指令来获取或更新数据库的数据，甚至在数据库账号权限较高的情况下，可以插入恶意SQL指令来调用数据库中的特殊函数来向服务器读、写文件或者执行操作系统命令
测试方法：
各位大佬按照自己的方法测试吧，在本篇中就不展开描述了
案例：
漏洞url：http://www.xxx.com:8081/#
在登录处使用 admin'or '1'='1'-- 即可登录进后台
​
No.14 恶意注册
检测系统是否存在恶意注册漏洞，对于部分注册有奖类应用，通过恶意注册方法，可进行薅羊毛类攻击，或通过批量注册账号，提高自身的中奖率
测试方法：
在注册处尝试修改数据包后重放，验证是否可以批量注册账号
案例：
抓取账号注册处第二步的信息，发现该处数据包将上一步所填写的手机号和短信验证码均一同发送到了服务端
​
我们爆破手机号后三位，如下图所示，如果手机号已经注册则会提醒该手机号码已经注册
​
​
我们任意修改图示数据包中的手机号和企业名，只要这两处在数据库中都不存在就返回200注册成功
​
我们多修改发送几次数据包，随后通过爆破的方式就会看到注册成功的账号变多
​
No.15  任意用户登录
测试应用系统是否存在登录逻辑绕过漏洞，从而可以任意登录他人账号
测试方法：
可以尝试通过修改用户id，修改登录数据包的返回值等方法绕过原有的登录策略
案例：
某平台任意帐号登录
只需要添加cookie
yibouid=数字 即可登录任意用户帐号！
通过遍历 找到一个官方管理的ID 291
登录
​
看看浏览 还是不错嘛
​

No.16  短信验证码内容可控
如果短信验证码内容可被任意控制，则很可能被有心人以官方名义发送恶意短信给
测试方法：
抓取发送短信的数据包，查看短信是否可控
案例：
该应用程序的短信URL由前端生成，可被任意修改。
点击发送短信功能处，抓取发送短信的数据包。
​
url 是由前端生成传值到后台，其中的 url 值内容可控，该url会发送到收信人手里。
​
No.17   参考文献
任意用户密码重置的10种常见姿势：
https://www.ichunqiu.com/course/59045
手机验证码常见漏洞总结：
https://www.cnblogs.com/xiaozi/p/7691344.html
绕过验证码：
https://mp.weixin.qq.com/s/TsUnDwtY5fxmuKrQ185MFA