WooYun.org

问题缺陷在“通过手机重置用户密码”，虽然爱爱医的同学在这方面还是下了不少功夫的（限制ip日操作次数、同帐号操作请求次数），且看我是如何突破限制重置任意用户密码的；
1）手机注册用户一枚，通过之前的测试发现系统会限制ip日操作次数、同帐号操作请求次数，但是系统没有对手机验证码校验的错误次数做限制；

2）我们可使用爆破的方式获取到用户真实校验码（根据系统response字节长度确定），但是系统限制了校验码使用次数（使用一次即过期）,我们无法通过常规渠道利用获取到的真实验证码来重置用户密码；

3）但是我们同时注意到，在爆破到真实验证码时，系统返回了这样一段内容;

{"ckey":"aaaaaaaaaaaaaaaaaaa","rcode":bbbbbbbbbb,"status":"success"}

4)哈哈，聪明的同学可能都想到了，系统可能会以“ckey”、“rcode”参数值为凭证来进行下一步的密码重置校验，但是我们如何知道是怎样一种逻辑呢，很简单，直接进行一次真正的密码重置并在过程中抓包来分析系统的逻辑；
5）通过抓包我们发现，当我们输入真正的验证码时系统会将"ckey"、“rcode”的参数值分别传递给“kcode”和“tcode”参数，并生成如下url请求；

http://auth.iiyi.com/safe/mod_pwd?kcode=aaaaaaaaaaaaaaaaaaa&tcode=bbbbbbbbbb

6）如此看来，我们的推断基本正确，那么我们只要爆破到真实验证码就可以获取到“ckey”、“rcode”参数值，当然也就知道了“kcode”和“tcode”参数值，有了上面的参数值我们就能直接重置用户密码了，let's go；
7)获取到我们需要的相关参数值；

8）利用上面获取到的参数值构造url请求，直接来到了密码重置环节；

9）输入我们需要重置的密码即可（突破限制利用漏洞演示完成）；