免责声明:由于传播、利用本文所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担

一个在野0day

找不到厂商,貌似这个厂商倒闭了

厂商:北京康邦科技有限公司统一管理系统

发现过程:还是抓包分析分析再分析

因为忘了截图,大概描述一下:

一直抓包看http历史,结合js,它不同的数字对应不同的路径,那些路径访问后直接跳转,但是,当用户名是正确的时候,也就是第二步,核实了有这个用户名,为啥这样发现的呢,因为cookie有一处细节,输入正常用户的cookie比错误用户名要长度要长(多了一个键值对),就可以直接访问那个路径,因此触发了任意密码重置

实现:

image-20240322112103611

image-20240322112120187

​ 注意这里 输入admin之后,点击了继续之后!

​ 再通过根路径拼接访问 uum/users_selfService!isCorrect.action 直接访问更改密码路径

​ 选择存在的账号更改即可

image-20240322112300644

然后用更改好的登录即可

image-20240322112511406