一些奇怪的「零点击」账户接管技术

admin
admin
admin
0
文章
0
评论
2026-01-26 02:46:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文分享了渗透测试中发现的四种账户接管逻辑缺陷。包括重置密码请求间校验缺失导致的绕过、密码重置接口的越权漏洞、验证码未绑定用户身份引发的劫持以及OTP登录参数未绑定邮箱的漏洞。文章强调需深入测试业务逻辑,警惕请求依赖性、ID可控性和会话绑定问题,避免停留在表面安全检查。 综合评分: 88 文章分类: 渗透测试,漏洞分析,WEB安全

cover_image

一些奇怪的「零点击」账户接管技术

haidragon haidragon

安全狗的自我修养

2026年1月23日 17:08 湖南

官网:http://securitytech.cc

这次我将介绍一些我在最近与 BugSwagger, LLC 的渗透测试项目中发现的奇怪账户接管(ATO)技术

在所有测试阶段中,我最喜欢测试的就是重置密码功能,因为它对业务影响极大。所以在每次测试中,在目标域名注册一个普通账号后,我第一时间就会进入 Reset Password 功能开始“施法”。

第一种技术

第一个目标的重置密码流程如下: 用户在重置页面输入邮箱 → 系统向邮箱发送重置链接。

用户点击链接并设置新密码。后台此过程会向服务器发送两个请求

🔹 请求一:校验 Token

用于验证 reset token 是否与用户邮箱关联。

  • 成功返回 1
  • 失败返回 0

🔹 请求二:设置新密码

真正修改密码,并在响应中返回完整账户信息。

🎯 测试过程

我拦截第一个请求后测试:

  1. 把 email 改成别人的
  2. email 置空
  3. 删除 email
  4. token 置空
  5. 删除 token
  6. 篡改返回包

全部返回 0

很多人到这里就停了(我队友也停了),但真正的宝藏在第二个请求

💥 核心漏洞

第二个请求完全不关心第一个请求是否成功

于是我:

👉 把自己的 email 改成受害者 email 👉 直接发送第二个请求

服务器居然直接:

✔ 修改了受害者密码 ✔ 返回了受害者信息

✅ 结果:

只需要知道邮箱,就能无需 token 重置任意用户密码。

第二种技术

第二个目标是一个奖学金系统,有 Parent / Teacher 角色。

教师可以创建班级并添加学生。

教师还能修改学生信息和重置学生密码。

请求参数包含:

studentId + newPassword

💥 漏洞点

👉 修改 studentId 👉 点击发送

结果:

教师可以修改任意学生的密码。

但还没结束。

我又用 Student Session 测试:

👉 换成 teacherId 👉 发送

结果:

✔ Student 可改 Teacher ✔ 可改 Parent ✔ 可改任何人

✅ 结果:

最低权限用户可重置全站任意账户密码。

第三种技术

注册时需要邮箱验证码。

没错:👉 爆破。

我抓包后送入 Burp Intruder。

验证码只有 4 位数

我成功爆破,拿到 access-token。

😨 更严重的问题

接口只有:

{"code":"1234"}

没有:

❌ email ❌ cookie ❌ token

这意味着:

验证码本身就是用户身份。

如果提交别人的验证码:

✔ 返回 token ✔ 直接登录别人账号

作者写脚本循环提交 0000–9999:

POST /api/v1/users/verify-email/
{
&nbsp; "code":"<4-digits-code>"
}

跑在 VPS 上无限循环,实时接管新注册用户。

第四种技术

系统使用邮箱 OTP 登录,没有传统重置密码。

流程:

  1. 输入邮箱
  2. 接收 6 位码
  3. 验证
  4. 自动登录

关键请求:

其中 key 用于认证,但不绑定 email

💥 核心漏洞

👉 使用自己的 key 👉 把 email 改成受害者

服务器直接:

✔ 返回受害者信息 ✔ 自动登录对方后台

作者甚至查了 CEO 邮箱直接登录。

✅ 总结

其实这些漏洞都不复杂。

它们来源于:

| 问题 | 本质 | | — | — | | Token 未绑定 | 身份混淆 | | ID 可控 | 越权 | | OTP 独立 | 会话劫持 | | 流程不完整 | 逻辑绕过 |

所有漏洞都不需要超能力,只需要多想一步,不要停在第一个“看起来安全”的地方。

  • 公众号:安全狗的自我修养
  • vx:2207344074
  • http://gitee.com/haidragon
  • http://github.com/haidragon
  • bilibili:haidragonx

#

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全狗的自我修养 haidragon haidragon《一些奇怪的「零点击」账户接管技术》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0