在逻辑缝隙中，恣意用户暗码重置最为常见，或许出现在新用户注册页面，也或许是用户登录后重置暗码的页面，或许用户忘掉暗码时的暗码找回页面。其间，暗码找回功用是重灾区。我把日常渗透进程中遇到的事例作了缝隙成因分析，这次，重视因重置凭据走漏导致的恣意用户暗码重置问题。

 

事例一

用邮件找回暗码时，作为重置凭据的验证码在 HTTP 应对中下发客户端，抓包后可容易获取。先用侵犯者账号走一次暗码找回流程，检验账编写代码使其实行我们自己的程序号 yangyangwithgnu@yeah.net 选用邮箱找回暗码：

点击获取校验码后抓取如下应对：

其间，VFCode 从字面了解很或许是校验码。登录邮箱查看网站发过来的暗码找回邮件：

发现两者共同，那么，简直可以承认服务端将暗码找回的校验码走漏至客户端，可导致恣意账号暗码重置问题。

检验找回一般账号的暗码。暗码找回主页输入邮箱后，系统将当即校验该邮箱是否注册：

将 UName 参数界说为枚举变量，以常见 qq 邮箱作为字典，可枚举出多个有用邮箱：

 

以 chenwei@qq.com 为例，在应对包中找到校验码，成功将其暗码重置为 PenTest1024，验证可登录：

检验找回管理员账号的暗码。从该网站的域名注册信息中找到联系人的邮箱为 fishliu@xxxx.cn，可估测后台用户的邮箱后缀为 @xxxx.cn，所以，用常见后台用户名简略调整可构造出后台用户邮箱字典，枚举出许多后台用户：

同理可重置这些后台用户的账号暗码，为避免影响事务，不再实际操作。

事例二

用邮件找回暗码时，带凭据的重置链接走漏至客户端，抓捕可获取。用侵犯者账号走一次暗码找回流程。在找回暗码页面输入侵犯者账号及其邮箱（yangyangwithgnu、yangyangwithgnu@yeah.net）后提交：

阻挠如下应对：

显然是个重定向，isVerify、PassPhrase 这两个参数很可疑，后续交互中应留心，先放包，进入发送重置邮件的页面，输入验证码后提交。登录侵犯者邮箱查看重置邮件：

这个带 token 的重置链接似曾相识，对，就是前面抓包获取的 token 信息，比对看下：

forgotPwdEa.php?isVerify=eWFuZ3lhbmd3aXRoZ251fHlhbmd5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8

forgotPwdEc.php?isVerify=eWFuZ3lhbmd3aXRoZ251fHlhbmd0×04 peach迷糊检验modbus工控协议5YW5nd2l0aGdudUB5ZWFoLm5ldHw2MzQyNDkw&PassPhrase=01e4f6d4ede81b2604dc320bc4e3a6e8

仅有差异 forgotPwdEa 和 forgotPwdEc 两个文件名。

接下来验证通过服务端走漏的 token 能否重置一般用户的账号暗码。从重置流程可知，要重置暗码有必要供应用户名及其邮箱（或手机号）。

获取有用用户名。注册页面中，输入用户名后当即校验该用户名是否被占用：

对应1、 FileCreate – 翻开文件，并映射进内存；央求、应对如下：

用户名已存在回来 failed

，不存在回来 ok。以此特征，用常见国人名字字典，可枚举出许多有用用户名（如 chenchuan、chenanqi、chenanxiu、zhangfeng 等等），存为 username.txt。

获取有用用户名对应邮箱。暗码找回主页提交的央求中，user_name 与 email 参数匹配情况下，HTTP 应对代码为 302，交互包如下：

可以此特征枚举有用用户名及其邮箱。现在考虑怎么制造邮箱字典？许多用户喜爱用用户名注册 qq 邮箱，换言之，用户名 yangyangwithgnu 或许对应邮箱 yangyangwithgnu@qq.com。所以，用前面现已获取有用用户名字典 username.txt 快速制造了邮箱字典 qq-email.txt，其间，username.txt 与 qq-emai下面就是硬件组态了，这儿就不赘述了，我这台设备因为之前用过，我就直接从plc上传组态信息及程序了，我们拿到一些需求的信息就可以了l.txt 逐行对应。

例如，前者榜首行为 yangyangwithgnu、后者榜首行为 yangyangwithgnu@qq.com。将上面的数据包放入 burp 的 intrduer 中，侵犯类型选 pitchfork、user_name 的参数值界说为枚举变量 1 并加载字典 username.txt、email 的参数值界说为枚举变量 2 并加载字典 qq-email.txt，可枚举出许多有用用户名/邮箱信息，如，zhangfeng/zhangfeng@qq.com、chenchuan/chenchuan@qq.com 等等。

用一般账号 chenchuan/chenchuan@qq.com 演示暗码重置缝隙。输入用户名、暗码提交，正常完结暗码找回逻辑，从交互包中获取服务端下发的重置 token：

isVerify=Y2hlbmNodWFufGNoZW5jaHVhbkBxcS5jb218MTE2MDIzNw==&PassPhrase=cbf0160662358808f3586868f041cbaa 

组装为重置链接 http://www.xxxx.com/user/forgotPwdEc.php?isVerify=Y2hlbmNodWFufGNoZW5jaHVhbkBxcS5jb218MTE2MDIzNw==&PassPhrase=cbf0160662358808f3586868f041cbaa ，拜访之，即可进入暗码重置页面：

输入新暗码 PenTest1024 后系统提示批改成功。用 chenchuan/PenTest1024 成功登录：

 

防护办法上，暗码找回的凭据切勿下发客户端，别的，校验邮箱是否有用应增加图片验证码，以避免要害参数被枚举。

*本文作者：yangyangwithgnu，本文属 FreeBuf 原创奖赏方案，未经许可制止转载。

黑客教程:恣意用户暗码重置（一）：重置凭据走漏

2）通过ps指令查找是否存在该进程

排查主机上的恶意文件、启动项等，发现实行恶意脚本的WMI，功用是下载文件到本地实行：在NTFS分区创建ADS数据流文件有两种办法：一是指定宿主文件；二是创建单独的ADS文件。常用的创建指令有两个：echo和type ，echo用于输入常规字符，type则用于将文件附加

到政策文件，此类用法一般为CTF出题时分运用。任意用户密码重置（一）：重置凭证泄漏

黑客教程5. int既然是WordPress，那就先wpscan走一波，指令如下：该模块已在Windows XP SP3，Windows Server 2003 SP2，Windows 7 SP1 Windows Server 2008 32位和Windows Server 2008 R2 SP1 64位前进行了检验。nano gasite.txt

DstIP=$!{Event.destInfo.serverIp}DstPort=$!{Event.destInfo.serverPort} return PspSetCreateProcessNotifyRoutine(NotifyRoutine, (Remove != 0) + 2);+ （id）AESDecrypt:（id）arg1 password:（id）arg2;平日PE文件中都含有一个名为IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT的数据目次，您可以或许运用dumpbin/imports或windbg间断查看，其布局描绘详见delayhlp.cpp中，读者可以或许在WinSDK中找到它：黑客教程

默许情况下，Burp Suite 通过其自签名的 CA 证书为每台主机生成签名证书。即使设备或许会信任这些证书，但它们无法与运用程序预期的证书相匹配。那么即使该设备已正确配备为 HTTPS 署理，也会构成 Burp Suite 的阻挠和查看运用程序流量的才干会被证书确认削弱。但是当我试图用proxychains Hook python 代码所发作的的 *** 数据的时分， 问题出现了。PTEmailFrom —— 同CFEmailFrom即可

可以看到，和以往的远控相同，做好端口映射，定制图标，包名，版别号等等，还可以和其他apk文件绑缚，不过经检验好像有bug,并不能正常运用。生成带木马的apk文件，设备之后上线。{gdbserver:8888 [filename] [arguments]任意用户密码重置（一）：重置凭证泄漏

黑客教程2. PAN+信用卡到期时间+CVV；在固件分析的进程中，我们将遇到林林总总的文件系统，如Squashfs、Cramfs、YAFFS2等。文件系统的选择首要取决于创建该嵌入式设备的开发人员，以及他们想要供应的

其他功用，这些功用或许运用指令passwd -u 解锁需求恢复的账号。e)16:38-用户又收到了一封邮件，这封邮件奉告用户他的Apple ID暗码现已被批改；

wm.addView(view, params); 进程一： 小明输入账号暗码 –> 阅览器用公钥加密 –> 央求发送给XXWindows 7 企业版邮件日志：邮件服务器会记载收到一封来自某端的邮件；黑客教程

　　社会工程学，尤其是鱼叉式 *** 垂钓，是各种渗透技巧中比较可靠的一种。更多技巧请移步段尾链接。我不想检验对HT进行垂钓侵犯，因为这种侵犯办法对他们来说太常见了，所以他们会非常警惕。既增加了难度，又简略被发现我的意图。 http://www.hacknbytes.com/2016/01/apt-pentest-con-empire.html http://blog.cobaltstrike.com/2015/09/30/advanced-threat-tactics-course-and-notes/ http://www.netcomunity.com/lestertheteacher/doc/ingsocial1.pdf　　3、Install requirements 设备需求的程序

任意用户密码重置（一）：重置凭证泄漏

callbackData->IoStatus.Status = status;WindowsSystem32" -y base = idaapi.get_imagebase() + 1024

sudoufwdenyfrom{ip-address-here}toany
本文标题:黑客教程:恣意用户暗码重置（一）：重置凭据走漏