token安全之任意密码重置

最新推荐文章于 2022-10-24 11:26:04 发布
最新推荐文章于 2022-10-24 11:26:04 发布
阅读量541 收藏
点赞数
文章标签: json 操作系统 javascript ViewUI
原文链接:http://www.cnblogs.com/pshell/p/8120064.html
版权

前言

偶然间挖了一个漏洞是密码重置,挖掘过程很有趣,可以参考下。

挖掘过程

在说明之前我们可以先走下正常流程,这样才方便查漏~

正常流程

getPassword

第一步骤:

正常填写完,点击下一步发送请求:

POST /[URI] HTTP/1.1
Host: [Host]
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Referer: [Referer] Content-Length: 37 Cookie: [Cookie] X-Forwarded-For: 127.0.0.1 Connection: close userName=用户名/手机号/邮箱&code=验证码

获得对应的响应报文:

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Content-Length: 217 Connection: close Server: nginx/1.12.2 {"code":200,"data":{"username":"用户名" ,"mobile":"手机号","email":"邮箱","token":"3c6e0b8a9c15224a8228b9a98ca1531df72f78a365657d56853b6867fb37dc3c444bcb3a3fcf8389296c49467f27e1d6"},"msg":"ok"}

第二步骤:

获取验证码->输入验证码-进入第三步骤:

输入验证码进入第三步骤的请求包:

POST /[URI] HTTP/1.1
Host: [Host]
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Referer: [Referer] Content-Length: 133 Cookie: [Cookie] X-Forwarded-For: 127.0.0.1 Connection: close receiver=email&token=3c6e0b8a9c15224a8228b9a98ca1531df72f78a365657d56853b6867fb37dc3c444bcb3a3fcf8389296c49467f27e1d6&verifyCode=6685

第三步骤重置密码请求包:

POST /[URI] HTTP/1.1
Host: [Host]
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Referer: [Referer] Content-Length: 133 Cookie: [Cookie] X-Forwarded-For: 127.0.0.1 Connection: close token=3c6e0b8a9c15224a8228b9a98ca1531df72f78a365657d56853b6867fb37dc3c444bcb3a3fcf8389296c49467f27e1d6&pwd=mstsecsb123&checkPwd=mstsecsb123

分析流程

因为这里主要的目标是逻辑漏洞,所以其他类型的就不作研究~

分析并验证可疑点:

1.第一步骤返回包中能获取到的东西

名字类型
username正常 [明文]
mobile打码 [138***888]
email打码 [123***1@..]
token正常 [加密处理过]

这里先给token划上疑问>其是否可以逆向?

这里的token值跟md5加密很相似,但是长度不一样(MD5长度为16位/32位)

所以大胆的猜想这里的token值可能是由多个md5拼接组成
token

得到token的值为96位除以根据MD5的长度(16位/32位),得出可能是由三组或者六组组成,这里我很幸运因为我按照三组的方式解密居然发现解密出来了,这里先按照32位分割:
token

然后丢去解密:

Md5Text
3c6e0b8a9c15224a8228b9a98ca1531dkey [用户名]
f72f78a365657d56853b6867fb37dc3c6685 [时间戳]
444bcb3a3fcf8389296c49467f27e1d6ok [返回消息正文 "msg":"ok"]

结论: Token可逆向

2.根据结论分析第二步骤验证码是否跟token有关联:

token=3c6e0b8a9c15224a8228b9a98ca1531df72f78a365657d56853b6867fb37dc3c444bcb3a3fcf8389296c49467f27e1d6&verifyCode=6685

结论: 直接从逆向token操作中可以了解到两者之间是有关联的有token就能知道重置密码的验证码

3.根据结论分析第二步骤是否是必要操作:

这里直接根据第一步骤获取的内容带入到第三步骤,完全可以成功重置密码,发现完全可以绕过第二步骤的验证。

结论: 直接把第一步返回的token带入第三步骤即可重置密码

结尾

转载于:https://www.cnblogs.com/pshell/p/8120064.html

weixin_30477797
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jupyter Notebook的连接密码 token查询方式
09-17
### Jupyter Notebook 的连接密码 Token 查询方式 Jupyter Notebook 是一款非常流行的开源 Web 应用程序,用于创建和共享文档,这些文档包含实时代码、方程式、可视化效果和叙述文本。它广泛应用于数据清理和转换、...
拼多多token重置
最新发布
2301_78339518的博客
12-16 351
拼多多token重置,可以让小号一直不失效的使用,已写成软件,批量更新重置
JWT的加密解密原理,token登出、改密失效、自动续期
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwt的token加密解密过程 2.1 生成
jwt退出登录/修改密码时如何使原来的token失效
热门推荐
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据...
SpringSecurity 退出登录/修改密码/重置密码 使JWT的token失效的解决方案
fenduo的博客
02-26 5006
利用数据库,存放一个token过期的时间字段 private LocalDateTime expireTime; 在创建token时,标注上创建的时间.setIssuedAt(new Date())。 如果这个创建时间小于 (修改密码重置密码、退出登录)操作的更新时间expireTime,就表示它是修改或者登出之前的token,为过期token token创建时间>数据库中的token过期时间 ===抛出异常 token失效 1.设置token的创建时间 ...
暴力破解绕过token限制
weixin_45253622的博客
09-01 9933
在枚举用户名和密码的时候,往往会遇到很多防御措施。 比如校验token,每次都需要更新token。 这里记录一下绕过token限制的方法。 首先使用BurpSuite抓包, 发送到intruter模块,并对需要爆破的目标位置进行设置。(这里主要是为了演示绕过token限制,所以假设已知用户名为admin) 给password设置字典 user_token需要从页面中获取 步骤:options->add->选中user_token的值。 设置跟随重定向,方法如下:options->r
Django通用类视图实现忘记密码重置密码功能示例
09-18
Django的`django.contrib.auth.views`模块提供了用于处理密码重置流程的类视图,包括`PasswordResetView`, `PasswordResetConfirmView`, `PasswordResetDoneView`, `PasswordChangeView`, `PasswordChangeDoneView`...
KatalonStudio之接口测试中token处理
01-27
在接口测试中,认证机制是不可或缺的一环,特别是在涉及到安全敏感的操作时,如API调用。Katalon Studio是一款强大的自动化测试工具,它支持多种测试场景,包括接口测试。本篇将详细介绍如何在Katalon Studio中处理...
CentOS7如何重置root密码的方法
09-15
然而,可能会出现`Authentication token manipulation error`的错误,这是因为没有`/etc/shadow`文件,这是存储密码的加密版本的地方。为了修复这个问题,运行`pwconv`命令,它会自动生成`/etc/shadow`文件。接着,...
kingkong:解密哥斯拉webshell管理工具流量
04-16
kingkong 解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员获取,这里以test.papng为例。 导出所有http对象,放置到文件夹 编辑kingkong.py脚本,找到#config这行,配置获取到的样本password、key,以及刚才的文件夹路径 py -2 kingkong.py Config #config #配置webshell的key key = '3c6e0b8a9c15224a' #配置webshell的password password = 'pass' #配置wireshark导出http对象的路径 filepath = '.' #配置是否为jsp+b
PHP高并发下生成唯一的不重复的订单id,以及生成不重复的用户token
WKissa的博客
06-05 8606
生成不重复的订单id public function getOrderId($prefix = 'DD') { return $prefix . (strtotime(date('YmdHis', time()))) . substr(microtime(), 2, 6) . sprintf('%03d', rand(0, 999)); }生成app的用户to...
拼多多加密后token破解与还原
zwh8698的博客
10-24 3610
提示:以下是本篇文章正文内容,下面案例可供参考以上就是今天要讲的内容,本文仅仅做技术研究,如果您有更好的方法可以一起研究讨论。
ESP8266加LED做一个闪光灯
weixin_45442198的博客
06-25 2405
代码如下(示例):/* 文件名称:blink.ino 功能:ESP8266闪灯示例*/ #define PIN_LED 5 //5是端口D1 #define KEY_FLASH 13void setup() { //设置PINLED为输出模式 pinMode(PIN_LED, OUTPUT); //初始关闭LED灯 di
使用随机16进制字符串和16进制时间戳生成token
weixin_50692585的博客
01-27 742
import json import hmac import time import datetime import random h_sk = "63QhvMPaWCdyARXhXxkfMQ==" # 16进制本地时间戳 now_tm = (datetime.datetime.now().strftime('%Y%m%d%H%M%S')) time_array = time.strptime(now_tm, '%Y%m%d%H%M%S') stamp_tm = int(time.mktime(time.
关于token的理解
weixin_44562686的博客
06-25 2638
什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。 使用token机制的身份验证方法,在服务器端不需要存储用户的登录记录。
SSO-Token,服务器端实现
u010186896的专栏
06-15 8483
最近在项目中遇到了一个单点登录的问题,就做了一个研究了下并做了实验,并分享给大家,有意见请指正~~~~ 关于SSO的定义等一些相关的问题请自行百度,这里只说实现~~~~~~ 首先呢,我做的SSO的实现在验证等操作全部是在服务器端实现的: 思路如下: 1、用户登录后,生成一个16位长度的Token字符串 2、将Token发回到客户端,在服务器端,将生成的Token和用户信息放到一个全局唯一
AES-256-ECB PKCS7Padding 解密 微信退款接口
彦楠的博客
02-26 6470
不说别的了,直接说解密 1解密方式 解密步骤如下: (1)对加密串A做base64解码,得到加密串B (2)对商户key做md5,得到32位小写key* ( key设置路径:微信商户平台(pay.weixin.qq.com)–>账户设置–>API安全–>密钥设置 ) (3)用key*对加密串B做AES-256-ECB解密(PKCS7Padding)
php同步接口订单,订单同步接口
weixin_42459611的博客
04-12 167
$url = "http://platform.okbuy.com/agent/agentapi/createorder";$paypwd = "b02a45a596bfb86fe2578bde75ff5444";$key = '3c6e0b8a9c15224a8228b9a98ca1531d';$orderItemInfo = array();$orderItemInfo[0] = array(...
.netcore identity如何用token重置密码
05-18
要生成密码重置令牌,可以使用 `UserManager.GeneratePasswordResetTokenAsync` 方法。例如: ``` var user = await _userManager.FindByEmailAsync(email); var token = await _userManager....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值