云梦微站通用漏洞之任意管理员密码重置

由于漏洞发生在服务商,所以此漏洞属于通用漏洞,所有使用云梦微站产品的网站都能利用。

首先我对一个网站进行查询,发现使用的是云梦微站产品。

然后我对他进行测试发现,云梦微站的云控制台忘记密码存在一个逻辑缺陷,可以重置管理员的密码,进而可以直接进入网站管理后台、更换账号及密码、操作网站续费、创建员工账号及设置网站管理权限等操作。

云梦微站忘记密码需要输入手机号,对于大部分使用云梦微站产品的网站而言。手机号我们是不知道的。那我们要怎么才能知道呢?

于是我利用阿里云和云梦微站的功能缺陷查到了。

由于使用云梦微站产品的网站域名大部分都是在阿里云万网买的,所以忘记会员名功能可以帮助我们找到手机号。

我们选择域名找回功能。

这样我们就找到了手机号前三位及后四位。

这下子只要知道中间四位就行了

云梦微站的功能缺陷就是会验证手机号是否存在,存在无提示,但是不存在会在页面提示手机号不存在。

于是我们可以用burp抓包爆破不知道的手机号中间四位。

提示没有了,继续下一步。

缺陷就在此处,经过测试发现,重置密码的短信验证码只有四位数。

所以我们可以获取验证码之后,用burp进行抓包爆破获取的短信验证码。

安全性再高的密码也抵不过一个四位数的短信验证码啊!

所有采用云梦微站产品的网站都可以利用我上面的思路重置管理员密码。

批量的话,有两个思路,一个是通过构造关键字用搜索引擎进行查找,另一个是通过爆破手机号的方式。

这是爆破某一个站的手机号时,无意中把其他使用云梦微站产品的网站手机号给爆破出来了。

总结:

  • 安全性再高的密码也抵不过一个四位数的短信验证码啊!
//_config.yml文件若没有添加enable: true可删除该判断