文章总结： 本文记录了一次SRC高危逻辑漏洞挖掘过程，发现注册登录接口存在验证码置空绕过漏洞，攻击者可通过置空验证码字段获取任意用户token，实现未授权注册和账户接管，建议修复验证逻辑确保验证码必校验。 综合评分： 79 文章分类： SRC活动,漏洞分析,渗透测试,WEB安全

记一次SRC高危逻辑漏洞挖掘

陌笙不太懂安全

2025年12月21日 17:42 河北

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号陌笙不太懂安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

作者:xiaoY原文链接：https://xz.aliyun.com/news/18557

前言

置空鉴权字段不仅仅在登录口,在查询处,鉴权处都是很经典的思路如jwt置空加密字段,个人信息置空回显站点全部信息,最简单的思路往往能造成最致命的问题。

进入站点简单熟悉一下业务,发现存在注册功能,未注册的账户会自动注册,登录注册均是同一接口(划重点)

正常bp抓包进行注册,接口/xjky-server/xjky-biz-server/app/open/sms/registerAndLogin 记录了注册手机号及短信验证码以及一串不知道的tenantId,正确的验证码会返回Token,后续请求带上Token对用户进行身份信息认证

{"openId":“307332"password":“307332”"username":“15xxxxx454""tenantId":"0ff61e364ea44c44a9b27c9198alcdd9}

将此接口发送到重发器测试,置空验证码,同样成功请求并返回token,为了确认新生成的token是否为新号码,在此站点也测试了有一会,熟悉了业务,有一个接口可以通过token回显个人信息

替换后响应包返回loginId 对应的正是我尝试任意注册的号,那么此账号已经成功被注册

记录好187 号码所生成的token响应包,来到登录功能点,验证码随意输入,拦截响应包

替换响应内容为任意生成生成的token 而后一直放包

会登录到187账户,图片未截取完,不过已经是进入了187个人信息页面

当我测试完成任意注册后,发觉登录口和注册均是一套接口,只是未登录过的账号会自动注册

/xjky-server/xjky-biz-server/app/open/sms/registerAndLogin

任意用户注册攻击置空验证会产生token,那么如果是我拿到已登录的账户,在此登录口同样进行置空验证码操作,是否也会返回对应号码token呢

我正常注册了一位138账户进行模拟,省略过程,直接来到登录口进行测试,模拟攻击者不知道验证码的情况,随意输入然后拦截响应包

纯粹的置空让其不做校验然后放包

同我想的一样,只要置空验证就可以绕过登录验证,直接根据号码生成token,直接任意用户登录接管账户,又可以吃N顿馒头了

后台回复加群加入交流群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 《