绕过补丁再次重置墨迹天气任意邮箱密码 – 网站

0x0 环境介绍

经过个人对墨迹天气的多次反馈与沟通，墨迹的运维大大反馈说开发哥哥们终于修复了 WooYun: 墨迹天气android客户端系列2：修改任意邮箱用户密码姿势一 。

那我看一眼是不是真修复了。

0x1 diff

WooYun: 墨迹天气android客户端系列2：修改任意邮箱用户密码姿势一 中找回密码的连接如下：
 

http://ugc.moji001.com/mapi/ResetPasswordBefore?E268443E43D93DAB7EBEF303BBE9642F={{mail}}&07CC694B9B3FC636710FA08B6922C42B={{timestamp}}&lan=CH

{{mail}}:即要修改密码的邮箱,编码为 hex ascii

{{timstamp}}：客户端发出找回密码时的时间戳，几个小时内有效,编码为hex ascii。

修复后的找回密码连接如下：
 

http://ugc.moji001.com/sns/ResetPasswordBefore?E268443E43D93DAB7EBEF303BBE9642F={{mail}}&07CC694B9B3FC636710FA08B6922C42B={{timestamp}}&9941E268A0F6F8E2AA2898B5A522D23D={{??}}&lan=CH

可以看粗，多了一个参数{{??}},这个是什么呢？

通过解码{{??}}，发现依然是hex ascii编码，内容为：mail-timestamp-moji_china，用“-”连接了mail，timestamp，moji_china然后编码而已。

0x2 尝试重置

****0x01尝试替换两处mail重置密码失败****
 

****0x02 继续猜测，除了邮箱，难道还在服务器端验证了是否存在正确的时间戳？那就需要遍历时间戳了。****

首先，利用抓取到的客户端找回密码的请求，并加以裁剪。连接如下：
 

然后，设置burp instruder重复找回密码三次，第一次为A邮箱，第二次为B邮箱，第三次为A邮箱。（确保instruder线程数为1，这样可以保证B的时间戳刚好在两次A时间戳之间）
 

邮箱发送成功，分别登录A邮箱和B邮箱，找出时间戳对比（B的时间戳果真在两次A之间）
 

时间戳：
 

****0x03 既然B时间戳在两次A之间，那就用第一次A的重置连接，修改连接中的邮箱为B，时间戳部分为instruder变量，查看是否可以遍历出B的找回密码连接（即重置B的密码）****
 

结果，结果令人大跌眼镜，居然没有一个返回码为200的可以重置B密码的连接。
 

****0x04 为什么不成功呢？抓出邮箱中的连接请求，并且找出上面遍历时payload为31343038333437303138313936（B的时间戳）的请求，送到burp的comparer中看一下****
 

****0x04 原来是大小写不对，那就改一改instruder中，把请求中的关键参数都改成大写，在看看*****
 

我的天，全部返回200。这说明，是不是重置邮箱密码跟时间戳的几乎无关，而且通过测试发现，只要确保{{mail-timestamp-moji_china}}参数处为大写字母，即可。

要修改B的密码，只要A邮箱用户在客户端点“忘记密码”，获取一个忘记密码连接

http://ugc.moji001.com/sns/ResetPasswordBefore?E268443E43D93DAB7EBEF303BBE9642F={{mail}}&07CC694B9B3FC636710FA08B6922C42B={{timestamp}}&9941E268A0F6F8E2AA2898B5A522D23D={{mail-timestamp-moji_china}}&lan=CH。

然后，将连接中的mail(两处)替换成邮箱B并用hexscii编码并且大写，即可。

辗转反复，高估了墨迹程序员的补丁。。。

修复方案：

给你们的邮件中说的挺明白了，一句话：换不可逆的编码方式。