我的邮箱经常就收到异常登录信息,我就不知道怎么就异常啦,开始还以为是运营商IP调整了。今天算是知道了,是可以撞库的(上次写的简略了点没通过,这次详细些,麻烦Wooyun大哥在重点位置给打个码)
手机下载花田Android(去看美女去啦,穷买不起IOS不知道IOS是不是同样问题),然后连上burp,对就是登录处(username和password都没有加密),输入用户名[email protected] 密码1234567 抓包(这里隐去我的手机信息)
发送到repeater,登录不成功返回
如果网易账号存在,并且密码正确(即使花田账号没有激活也可以,以username:[email protected] pwd:93344825为例)返回
获得相应的token
好了,发送到Intruder开始上CSDN密码库:
乌云需要复现过程,上一部分成功获得token(不一定能登录网易花田,没开通就登录不了,但是一定能登录网易通行证)的账号,撞库成功率非常高,只测试了邮箱是163的用户。
随机选择上面截图中的一个账号,让我来登录下他的邮箱和网易通行证
能进入用户中心,我相信左下边的网易服务就都能进去了,我就不一一继续验证了