云来专注于移动互联网,是中国最大的移动APP云服务提供商,产品及业务范畴主要包括云来轻APP、云来移动APP、移动APP云服务、移动APP云平台等。通过符合移动互联网用户思维习惯的产品设计和极致的用户体验,为企业提供基于云端智能技术的低成本的行业商业移动化解决方案,为企业打造最具信任力的移动互联网精准营销服务。
电子商务网站:http://www.liveapp.cn/
最近比较火的场景应用,轻app大都出自于云来之手,其产品被应用于各大互联网产商。
0x001.
在其找回密码页面,输入找回邮箱时会通过ajax自动验证是否存在该邮箱,
然后点击提交。
邮箱收到重置密码邮件
0x002.
由此可知:
一、有效期为2个小时。二、重置页面字符串:
MTI1MjcxJTNGYWN0JTNEZmluZCUyNmVtYWlsX3RtJTNEMTQzMjA5NTE4NA==
拿去base64解码下:
125271%3Fact%3Dfind%26email_tm%3D1432095184
由2部分组成,125271 是用户ID号,也就是数据库的自增id号。后面的1432095184 是UNIX时间戳。
Unix时间戳我们很容易就能弄到,而用户id才6位数,岂不是很容易爆破出来。
POC:
先来获得unix时间戳准备2个页面,(由于他官网要避免缓存当你进入
My.liveapp.cn时候会location 到
http://my.liveapp.cn/admin/user/login?from=%2F&t_=1432179156
后面就是unix时间戳)
当点击提交后,马上在另外一个页面进入他网站,多次测试发现相隔1秒,于是我们拿到进入网站的unix时间戳减去1就得到了我们要的时间戳 1432179308也就是1432179307
接下来就是生成字典了。这里我写了个php页面来生成。。。替换掉unix时间戳,
(那个143270是我新注册一个号,找回密码得到的最大值)
拿到字典之后我用txt文本分割器分割了30份。
写了个bat进行暴力测试。
如果测试成功,会在目录下生成 r*.txt 结果页面
没多久就爆出来了
生成r0027.txt打开去访问下。
直接到重置密码页面
安全盒子原创文章:转载请注明安全盒子SecBox.c