src 挖掘| 奇怪的任意用户重置密码组合拳漏洞

听风安全 2025-04-12 07:09

免责声明

由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此
承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

公众号现在只对常读和星标的公众号才展示大图推送，

建议大家把
听风安全

设为星标
，否则可能就看不到啦！

---

分享一下之前挖src遇到比较奇怪的任意用户重置密码。该漏洞在是两个不同学校的网站相互配合导致的组合拳漏洞。

一、收集到的信息
：

1、学校a:https://aaaaaaaa.cn/user

2、学校b:https://bbbbbbb.cn/user

3、a学校与b学校是同一个系统。

4、b学校的学生：杨**，学号与姓名，但不知道密码

5、b学校的学生：于*，学号，姓名与密码。

二、漏洞复现

1、打开a学校网站，a学校的登录分为两步。第一步输入学号与姓名。

当学号与密码正确后再进入第二步输入密码。

2、在a学校输入信息收集到的b学校的杨**学生学号与姓名。

下一步显示需要杨的密码，密码未收集到，但问题不大，从响应包中成功获取到了杨的userid。

3、打开b学校网站https://bbbbbbb.cn/user，系统与a学校网站相同。不同的是，b学校的登录步骤只有一步，即输入学生的学号，姓名与密码。

输入信息收集到的b学校学生，于**的学号姓名与密码进行登录。

4、在登录后的个人信息设置里，填写好要绑定的手机号验证码信息，抓包。

修改userid为从a学校中获取到的杨**userid

响应包显示修改成功

5、打开b学校的找回密码功能，输入杨**学生的学号与刚才越权绑定的手机号，获取验证码信息,新密码为Aa123456@

修改成功

6、重新登录b学校，输入杨**的学号与刚才成功修改的新密码Aa123456@。

成功登录杨**账号

三、漏洞总结：

1、a学校登录分为两步，b学校登录只需要一步。且该两个网站疑似共同同一个数据库。

2、b学校登录只有一步，无法直接获取到userid，所以可以在a学校中的第一步登录b学校学生，获取到b学校学生的userid。

3、通过userid越权绑定手机号，最终实现任意用户修改密码的组合拳漏洞。

不可错过的往期推荐哦

点击下方名片，关注我们

觉得内容不错，就点下
“赞
”
和
“在看
”

如果不想错过新的内容推送可以设为星标