云來(lái)專注于移動(dòng)互聯(lián)網(wǎng)，是中國(guó)最大的移動(dòng)APP云服務(wù)提供商，產(chǎn)品及業(yè)務(wù)范疇主要包括云來(lái)輕APP、云來(lái)移動(dòng)APP、移動(dòng)APP云服務(wù)、移動(dòng)APP云平臺(tái)等。通過(guò)符合移動(dòng)互聯(lián)網(wǎng)用戶思維習(xí)慣的產(chǎn)品設(shè)計(jì)和極致的用戶體驗(yàn)，為企業(yè)提供基于云端智能技術(shù)的低成本的行業(yè)商業(yè)移動(dòng)化解決方案，為企業(yè)打造最具信任力的移動(dòng)互聯(lián)網(wǎng)精準(zhǔn)營(yíng)銷服務(wù)。

? ?

電子商務(wù)網(wǎng)站：http://www.liveapp.cn/

? ?

最近比較火的場(chǎng)景應(yīng)用，輕app大都出自于云來(lái)之手，其產(chǎn)品被應(yīng)用于各大互聯(lián)網(wǎng)產(chǎn)商。

0x001.

在其找回密碼頁(yè)面，輸入找回郵箱時(shí)會(huì)通過(guò)ajax自動(dòng)驗(yàn)證是否存在該郵箱，

然后點(diǎn)擊提交。

郵箱收到重置密碼郵件

? ?

0x002.

由此可知：

一、有效期為2個(gè)小時(shí)。二、重置頁(yè)面字符串：

MTI1MjcxJTNGYWN0JTNEZmluZCUyNmVtYWlsX3RtJTNEMTQzMjA5NTE4NA==

拿去base64解碼下：

125271%3Fact%3Dfind%26email_tm%3D1432095184

? ?

由2部分組成，125271 是用戶ID號(hào)，也就是數(shù)據(jù)庫(kù)的自增id號(hào)。后面的1432095184 是UNIX時(shí)間戳。

? ?

Unix時(shí)間戳我們很容易就能弄到，而用戶id才6位數(shù)，豈不是很容易爆破出來(lái)。

? ?

POC：

先來(lái)獲得unix時(shí)間戳準(zhǔn)備2個(gè)頁(yè)面，（由于他官網(wǎng)要避免緩存當(dāng)你進(jìn)入

My.liveapp.cn時(shí)候會(huì)location 到

? ?

http://my.liveapp.cn/admin/user/login?from=%2F&t_=1432179156

后面就是unix時(shí)間戳）

當(dāng)點(diǎn)擊提交后，馬上在另外一個(gè)頁(yè)面進(jìn)入他網(wǎng)站，多次測(cè)試發(fā)現(xiàn)相隔1秒，于是我們拿到進(jìn)入網(wǎng)站的unix時(shí)間戳減去1就得到了我們要的時(shí)間戳 1432179308也就是1432179307

? ?

接下來(lái)就是生成字典了。這里我寫了個(gè)php頁(yè)面來(lái)生成。。。替換掉unix時(shí)間戳，

（那個(gè)143270是我新注冊(cè)一個(gè)號(hào)，找回密碼得到的最大值）

拿到字典之后我用txt文本分割器分割了30份。

寫了個(gè)bat進(jìn)行暴力測(cè)試。

如果測(cè)試成功，會(huì)在目錄下生成 r*.txt 結(jié)果頁(yè)面

沒多久就爆出來(lái)了

生成r0027.txt打開去訪問(wèn)下。

直接到重置密碼頁(yè)面

安全盒子原創(chuàng)文章：轉(zhuǎn)載請(qǐng)注明安全盒子SecBox.c

轉(zhuǎn)載于:https://www.cnblogs.com/h4ck0ne/p/5154665.html

總結(jié)

以上是生活随笔為你收集整理的云来重置任意用户密码的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。