利用burpsuite挖掘教育系统通用密码重置漏洞的详细过程
北京万学教育科技有限公司旗下的教育系统可绕过手机验证,涉及多个教育平台。导致黑客可以重置任意用户密码来登录任意账户。账户后台存在部分个人信息,同时能进行着交易支付,造成了进一步的危害。(该漏洞一年前已修复).
漏洞成因:
没有对手机验证码的验证次数做限制,而且验证码长度只有四位,使黑客可以通过爆破手段绕过一切需要手机验证码操作限制。主要存在于密码找回和新用户注册功能中。
漏洞利用总体思路:
输入一个任意存在的用户手机号,点击发送验证码(经测试验证码长度4位,有效期时间大约在5-10分钟左右,足够爆破出正确验证码了)。输入数字,网页会自动验证验证码的对错。设置代理,使用burpsuite工具,截获该数据包进行爆破。
利用子域名检索出了当时的相关网站:
多个教育单位使用了该套系统,使其影响增大。
js.wanxue.cn 江苏省教育厅在线教育平台
yn.wanxue.cn 云南省教育厅在线教育平台
jl.wanxue.cn 吉林省教育厅在线教育平台
sx.wanxue.cn 山西省大学生创业园
ruccy.wanxue.cn 中国人民大学
swpu.wanxue.cn 西南石油大学
cqsdzy.wanxue.cn 重庆水利电力职业技术学院
cqwu.wanxue.cn 重庆文理学院
gxnu.wanxue.cn 广西师范大学
c.wanxue.cn 百度万学教育
cy.wanxue.cn 百度投资
实操过程:
以下是对其中吉林省教育厅在线教育平台(jl.wanxue.cn )教育平台的漏洞测试案例:
吉林省教育厅在线教育平台 jl.wanxue.cn
密码找回网址:http://jl.wanxue.cn/findpw1.do
输入一个已经注册过的手机号,点击发送验证码。
输入任意数字,会自动验证对错。
给浏览器添加127.0.0.1:8080代理(使用的是360安全浏览器)。
打开burpsuite设置代理运行,拦截验证包
筛选验证验证码判断对错的包。
若验证码错误,response返回值为“failure”;若正确,返回值为“success”
在下方右键,点击Send to Intruder。使用Intruder功能对验证码进行爆破。
然后点击Intruder标签及其下Postions标签。 点击右侧“Clearn$”健,再鼠标选中下方message后的字段,点击“Add$”键。
(即选中验证码的值作为要爆破的对象)
对要开始的爆破行为进行参数设置。
在payload选项中,设置Payload type为Numbers。 由于验证码是四位数,爆破范围从1000至9999。
在option选项中,线程设置为500(线程不能太高,可能到时服务器无法响应或者响应错误。也不能太低,以免爆破速度过慢)。
同时添加“failure”和“success”进行关键字匹配
点击start attack开始爆破
爆破完成以后,在爆破窗口中,点击“success”标签,筛选出符合匹配结果的选项。验证码为5421(该验证码需在有效期内尽快使用)
成功修改密码,登录后台
找出一个网站后就开始扩展广度,看受影响的网站:
1.最简单的方法就是搜索:“教育厅在线教育平台”,发现有些是wanxue.cn域名,但子域名不同。
2.所以搜索:site:wanxue.cn 可以查二级域名
3.也可以用网上的站长工具去检索
4.kali下有工具可以检索 fierce -dns wanxue.cn
以上。