原文地址:http://drops.wooyun.org/web/5048

0x00 背景介紹

請注意這兩篇文章：

密碼找回功能可能存在的問題

密碼找回功能可能存在的問題（補充）

距離上兩篇文檔過去近半年了，最近整理密碼找回的腦圖，翻開收集的案例，又出現了一些新的情況，這里一并將所有見到的案例總結并分享給大家，在測試時可根據這個框架挖掘！

0x01 密碼找回邏輯測試一般流程

• 首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數據包
• 分析數據包，找到敏感部分
• 分析后臺找回機制所采用的驗證手段
• 修改數據包驗證推測

0x02 腦圖

0x03 詳情

用戶憑證暴力破解

四位或者六位的純數字 例子

WooYun: 當當網任意用戶密碼修改漏洞

WooYun: 微信任意用戶密碼修改漏洞

返回憑證

url返回驗證碼及token 例子

WooYun: 走秀網秀團任意密碼修改缺陷

WooYun: 天天網任意賬戶密碼重置（二）

密碼找回憑證在頁面中

通過密保問題找回密碼 例子

WooYun: sohu郵箱任意用戶密碼重置

返回短信驗證碼

例子

WooYun: 新浪某站任意用戶密碼修改（驗證碼與取回邏輯設計不當）

郵箱弱token

時間戳的md5 例子

WooYun: 奇虎360任意用戶密碼修改漏洞

用戶名 & 服務器時間

WooYun: 中興某網站任意用戶密碼重置漏洞（經典設計缺陷案例）

用戶憑證有效性

短信驗證碼 例子

WooYun: OPPO手機重置任意賬戶密碼（3）

WooYun: 第二次重置OPPO手機官網任意賬戶密碼（秒改）

WooYun: OPPO修改任意帳號密碼

郵箱token

例子

WooYun: 身份通任意密碼修改-泄漏大量公民信息

重置密碼token

例子

WooYun: 魅族的賬號系統內存在漏洞可導致任意賬戶的密碼重置

重新綁定

手機綁定 例子

WooYun: 網易郵箱可直接修改其他用戶密碼

WooYun: 12308可修改任意用戶密碼

郵箱綁定

例子

WooYun: 某彩票設計缺陷可修改任意用戶密碼

WooYun: 中國工控網任意用戶密碼重置漏洞

服務器驗證

最終提交步驟 例子

WooYun: 攜程旅行網任意老板密碼修改(慶在wooyun第100洞)

服務器驗證可控內容

例子

WooYun: AA拼車網之任意密碼找回2

WooYun: 四川我要去哪517旅行網重置任意賬號密碼漏洞

服務器驗證驗證邏輯為空

例子

WooYun: 某政企使用郵件系統疑似存在通用設計問題

用戶身份驗證

賬號與手機號碼的綁定

WooYun: 上海電信通行證任意密碼重置

賬號與郵箱賬號的綁定

例子

WooYun: 魅族的賬號系統內存在漏洞可導致任意賬戶的密碼重置

WooYun: 和訊網修改任意用戶密碼漏洞

找回步驟

跳過驗證步驟、找回方式，直接到設置新密碼頁面 例子

WooYun: OPPO手機同步密碼隨意修改，短信通訊錄隨意查看

WooYun: 中國電信某IDC機房信息安全管理系統設計缺陷致使系統淪陷

本地驗證

在本地驗證服務器的返回信息，確定是否執行重置密碼，但是其返回信息是可控的內容，或者可以得到的內容 例子

WooYun: 看我如何重置樂峰網供應商管理系統任意用戶密碼（管理員已被重置）

WooYun: oppo重置任意用戶密碼漏洞(4)

發送短信等驗證信息的動作在本地進行，可以通過修改返回包進行控制

例子

WooYun: OPPO修改任意帳號密碼-3

WooYun: OPPO修改任意帳號密碼-2

注入

在找回密碼處存在注入漏洞 例子

WooYun: 用友人力資源管理軟件（e-HR）另一處SQL注入漏洞（通殺所有版本）

Token生成

token生成可控 例子

WooYun: 天天網任意賬號密碼重置(非暴力溫柔修改)

WooYun: 天天網再一次重置任意賬號密碼(依舊非暴力)

注冊覆蓋

注冊重復的用戶名 例子

WooYun: 中鐵快運奇葩方式重置任意用戶密碼(admin用戶演示)

session覆蓋

例子

WooYun: 聚美優品任意修改用戶密碼(非爆破)

附腦圖文件：密碼找回漏洞挖掘.zip