文章总结： 本文讲述了作者在某知名苹果生态服务公司的漏洞挖掘过程中，通过在邮箱前缀插入特殊字符绕过系统限制，实现了零点击账号劫持。关键发现是组织管理员修改用户邮箱的功能未做严格校验，且修改无需用户确认。建议在遇到标识已存在类报错时，尝试利用特殊字符进行逻辑漏洞绕过。 综合评分： 78 文章分类： 漏洞分析,实战经验,SRC活动,渗透测试

使用特殊字符实现零点击账号接管

原创

CaptinSHArky CaptinSHArky

Z2O安全攻防

2026年2月26日 21:03 北京

点击上方[蓝字]，关注我们

建议大家把公众号“Z2O安全攻防”设为星标，否则可能就看不到啦！因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法：点击右上角的【…】，然后点击【设为星标】即可。

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。

文章正文

今天我要和大家分享的，是我发现的一个知名苹果生态服务公司（主营macOS端应用）的漏洞——通过特殊字符，实现对账号的零点击劫持。

接下来，我们深入聊聊这个漏洞的挖掘过程。

漏洞挖掘的缘起

事情的开端，是我收到了这家公司的漏洞挖掘项目邀请，当时我心想，不如就参与试试？

我泡了杯醇香的咖啡，开始对这款应用展开深度分析。两小时后我发现，应用的诸多功能都处于锁定状态，必须通过macOS端登录并绑定苹果电脑才能解锁。既然如此，我想着不如先研究下它的邀请系统，看看有没有可乘之机。

我打开应用，开始分析各类接口请求、排查系统的各类报错信息。

我先尝试邀请了一位普通用户，接着又尝试编辑该用户的相关信息，这时我发现了一个至关重要的点：组织管理员有权修改普通用户的绑定邮箱。

于是我立刻注册了另一个账号，用攻击者账号将这个新账号邀请至自己的组织中，结果却收到了系统报错。

红色标注的用户已在其他组织拥有授权许可，你仅可邀请其加入，无法为其分配额外许可

这是个关键的报错提示，我决定试着绕过这个限制。

按照我以往的挖掘经验，当尝试通过逻辑漏洞绕过这类限制时，系统通常会抛出“账号已存在”的报错。我先做了些简单尝试：将邮箱的字母改大小写，比如把[email protected]改成[email protected]；或是在邮箱末尾加空格，构造出这样的参数：

这种方法偶尔能奏效，但多数时候还是会触发报错。

我没有就此放弃，突然想起一篇利用特殊字符挖掘逻辑漏洞的优质分享SRC中特殊字符的妙用，我心想，不如也试试这个思路？

随后我在邮箱前缀中加入了特殊字符，构造出这样的恶意邮箱地址：

这次，系统返回了操作成功的响应！

后台并未新建一个带新ID的账号，而是直接接受了这份邀请，将目标受害者账号加入了我创建的组织中。

而这个漏洞的第二重致命之处在于：修改后的邮箱地址，无需用户本人确认接受邀请。哪怕受害者从未点击过任何加入组织的链接，我依然可以随意修改其账号的绑定邮箱！

最终，我通过这个漏洞实现了零点击账号劫持！

挖掘小技巧

最后想和大家说几句：没有任何一家公司的代码是100%安全的，相信我。即便是脸书这样的大厂，依然存在一些基础的逻辑漏洞，有人还能靠着挖掘这类漏洞拿到高额赏金。你要做的，只是比别人多一份坚持、多尝试几种思路。

当你在测试时，遇到任何提示“名称/标识已存在”的功能或输入框，一定要想尽办法尝试绕过限制。相信我，你永远不知道下一次尝试会带来什么惊喜。

希望这篇分享，能为大家提供一些利用特殊字符挖掘逻辑漏洞的新思路。(翻译自：https://medium.com/@mahdisalhi0500/0-click-account-takeover-using-special-characters-0030a1e3c6d6)

建了个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞

圈子专注于更新src相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、小群一起挖洞

图片

图片

图片

考证咨询

最优惠报考各类安全证书(NISP/CISP/CISSP/PTE/PTS/PMP/IRE等….)，后台回复”好友位”咨询。

关注我们

点个【 在看 】，你最好看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Z2O安全攻防 CaptinSHArky CaptinSHArky《使用特殊字符实现零点击账号接管》