云來專注于移動互聯(lián)網(wǎng)，是中國最大的移動APP云服務(wù)提供商，產(chǎn)品及業(yè)務(wù)范疇主要包括云來輕APP、云來移動APP、移動APP云服務(wù)、移動APP云平臺等。通過符合移動互聯(lián)網(wǎng)用戶思維習慣的產(chǎn)品設(shè)計和極致的用戶體驗，為企業(yè)提供基于云端智能技術(shù)的低成本的行業(yè)商業(yè)移動化解決方案，為企業(yè)打造最具信任力的移動互聯(lián)網(wǎng)精準營銷服務(wù)。

? ?

電子商務(wù)網(wǎng)站：http://www.liveapp.cn/

? ?

最近比較火的場景應(yīng)用，輕app大都出自于云來之手，其產(chǎn)品被應(yīng)用于各大互聯(lián)網(wǎng)產(chǎn)商。

0x001.

在其找回密碼頁面，輸入找回郵箱時會通過ajax自動驗證是否存在該郵箱，

然后點擊提交。

郵箱收到重置密碼郵件

? ?

0x002.

由此可知：

一、有效期為2個小時。二、重置頁面字符串：

MTI1MjcxJTNGYWN0JTNEZmluZCUyNmVtYWlsX3RtJTNEMTQzMjA5NTE4NA==

拿去base64解碼下：

125271%3Fact%3Dfind%26email_tm%3D1432095184

? ?

由2部分組成，125271 是用戶ID號，也就是數(shù)據(jù)庫的自增id號。后面的1432095184 是UNIX時間戳。

? ?

Unix時間戳我們很容易就能弄到，而用戶id才6位數(shù)，豈不是很容易爆破出來。

? ?

POC：

先來獲得unix時間戳準備2個頁面，（由于他官網(wǎng)要避免緩存當你進入

My.liveapp.cn時候會location 到

? ?

http://my.liveapp.cn/admin/user/login?from=%2F&t_=1432179156

后面就是unix時間戳）

當點擊提交后，馬上在另外一個頁面進入他網(wǎng)站，多次測試發(fā)現(xiàn)相隔1秒，于是我們拿到進入網(wǎng)站的unix時間戳減去1就得到了我們要的時間戳 1432179308也就是1432179307

? ?

接下來就是生成字典了。這里我寫了個php頁面來生成。。。替換掉unix時間戳，

（那個143270是我新注冊一個號，找回密碼得到的最大值）

拿到字典之后我用txt文本分割器分割了30份。

寫了個bat進行暴力測試。

如果測試成功，會在目錄下生成 r*.txt 結(jié)果頁面

沒多久就爆出來了

生成r0027.txt打開去訪問下。

直接到重置密碼頁面

安全盒子原創(chuàng)文章：轉(zhuǎn)載請注明安全盒子SecBox.c

轉(zhuǎn)載于:https://www.cnblogs.com/h4ck0ne/p/5154665.html

總結(jié)

以上是生活随笔為你收集整理的云来重置任意用户密码的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。