WooYun.org

0x00
典型密码重置漏洞，乌云上已经有很多类似的漏洞了。
0x01 从一个奇葩的ajax讲起
在chrome console的network栏中看到一个奇葩的ajax GET请求，从js代码中看是用来获取用户昵称的。这个直接在浏览器中打开ajax请求的URL，如下：

可以看到id信息和一个明晃晃的password信息，不过password应该是hash加salt了，没有解出来。
在URL请求参数改成其他的用户名，也可以返回相应的结果（如果password没加salt能解出来的话问题会很严重）
这里我用自己的邮箱注册一个账号，该请求有如下返回

下文为方便叙述，将这两个帐号简单称为手机账号和邮箱帐号
0x02 尝试SQL注入失败后转而寻找逻辑漏洞，以重置密码入手。
使用手机帐号进行密码找回。
输入手机号，选择邮箱找回

手机帐号对应的邮箱会收到6位验证码，输入之后进行修改密码界面。

输入aaaaaa作为密码，使用burpsuite代理拦截

可以看到原本手机账号对应的ID和用户名，根据前面那个泄漏ID信息的URL的返回结果，可在已知用户名的情况下获取到ID，这里将ID和用户名改成邮箱账号对应的值。发送HTTP请求。
可以看到修改成功提示。

接下来使用aaaaaa作为邮箱账号的密码登录，成功。
0x03 现在假设开发人员已经修复了任意密码重置的漏洞，还能否修改别的人密码呢？可以
使用上述类似手法可以任意修改其他帐号的绑定邮箱。
使用手机帐号登录后，点击“会员安全”>“修改绑定邮箱”

点击获取校验码，burpsuite拦截

可以看到手机帐号的用户名ID，修改为邮箱用户的用户名ID提交。
邮箱会正常收到验证码，填入提交再次使用burpsuite拦截。
这个请求的ID也修改成邮箱用户的ID

提交请求，返回修改成功提示。
此时登录邮箱账号可以看到绑定邮箱已变（原来应该是139邮箱）

绑定邮箱修改后，则可以正常重置密码了。