流量解密并挖掘任意密码重置

流量解密并挖掘任意密码重置

先随便找一处功能点在下断点前我先抓个包给你们看看
68281-mji3rducb5.png

平常遇到了是不是就想放弃了?莫慌,待我操作一番。

先在功能中下个断点
04872-5n7h3iot8pd.png

02010-gku368kk1i.png

点击获取验证码

可以发现已经在断点处暂停了
20218-jdhd5qgpme.png

18371-9vz9bnbidaf.png

分别为

  • 继续执行F8
  • 跳过下一个函数调用F10
  • 进入下一个函数调用F11
  • 跳出当前函数SHIFT+F11
  • 单步调试F9

这里直接先跳到下个函数调用
38552-03sk4yszrtm8.png

一直F10一直到看起来像加密的函数
35660-irm4qjar41.png

从名字上看就可以知道这是个DES加密

跟进去看看
00907-hpb0vr1dyg8.png

这里直接就知道了。这个网站是用DES加密,模式为ECB padding为Pkcs7以及key的值。并且加解密函数也都有了,也就不用继续再跟了。
37246-x0kdnpj5na.png

用console控制台调试一下
15923-ptwrv5eiel.png

可以发现成功解密了

再试试调用下加密模块
45079-7nmw2xfhi9s.png

可以发现是一样的。

那么这个网站的加密对于现在来说跟没有是一样的了,似入无人之境再解密下刚才的返回包看看说了什么
51973-6vqjg0e9af.png

可以发现也成功的解密了出来。

一般这种加密的网站只要能解密出来就很容易存在些漏洞。of course这里也是有滴。

我就直接开讲了,不多逼逼废话了。

这里来到修改密码的功能点
12701-6o798pa8et3.png

有一个很经典的resetPwdstep1.jsp

尝试改成2看看
57667-wh2vwy268e.png

可以,很经典。不过就算这样抓包,还是不知道请求包该怎么构造(看上面就知道比较复杂)。先正常请求获取波构造
28790-u6nar5t0gal.png

可以看到这里头待有个个加密data解密下看看
05146-ryjrapd2xr.png

sjh000代表了手机号 yzm000则是验证码。不过问题不大,把验证码修改成000000看看
81519-v06xe5fu9aa.png

666直接注册成功了(其实经过测试。在resetPwdstep2.jsp下只要验证码不为空。任意六位数字都可以导致密码修改成功,也是醉了 )
62959-hup3kgdd3rm.png

为了更方便点呢。其实直接抓修改密码的包进行重复发包即可(对于验证码的校验仅在step1)

dlmm00是设置的密码 利用md5进行加密
97572-dudvnuwrp17.png

68420-6uvqo7y5zze.png

LIKE THIS
65410-iffk0iaue5.png

21229-xlnrzf6fxee.png

而且在该注册处还存在用户枚举以及横向手机号短信轰炸漏洞,可以利用这个地方对已注册手机号进行枚举,然后搭配任意密码修改即可~
19234-iwvhvktubfm.png

0%