文章总结： 本文介绍了一种利用两校共享数据库系统差异导致的任意用户重置密码组合拳漏洞。攻击者通过学校A的分步登录获取目标UserID，再登录学校B并修改请求包中的UserID越权绑定手机号，最终利用学校B的密码找回功能接管目标账号。该漏洞展示了逻辑缺陷与越权访问结合的高风险性。 综合评分： 82 文章分类： SRC活动,实战经验,WEB安全,漏洞分析

src | 奇怪的任意用户重置密码组合拳漏洞

Z2O安全攻防

2026年1月15日 21:55 北京

以下文章来源于有恒安全 ，作者有恒

有恒安全 .

安全技术知识分享

分享一下之前挖src遇到比较奇怪的任意用户重置密码。该漏洞在是两个不同学校的网站相互配合导致的组合拳漏洞。

一、收集到的信息：

1、学校a:https://aaaaaaaa.cn/user

2、学校b:https://bbbbbbb.cn/user

3、a学校与b学校是同一个系统。

4、b学校的学生：杨**，学号与姓名，但不知道密码

5、b学校的学生：于*，学号，姓名与密码。

二、漏洞复现

1、打开a学校网站，a学校的登录分为两步。第一步输入学号与姓名。

当学号与密码正确后再进入第二步输入密码。

2、在a学校输入信息收集到的b学校的杨**学生学号与姓名。

下一步显示需要杨**的密码，密码未收集到，但问题不大，从响应包中成功获取到了杨**的userid。

3、打开b学校网站https://bbbbbbb.cn/user，系统与a学校网站相同。不同的是，b学校的登录步骤只有一步，即输入学生的学号，姓名与密码。

输入信息收集到的b学校学生，于**的学号姓名与密码进行登录。

4、在登录后的个人信息设置里，填写好要绑定的手机号验证码信息，抓包。

修改userid为从a学校中获取到的杨**userid

响应包显示修改成功

5、打开b学校的找回密码功能，输入杨**学生的学号与刚才越权绑定的手机号，获取验证码信息,新密码为Aa123456@

修改成功

6、重新登录b学校，输入杨**的学号与刚才成功修改的新密码Aa123456@。

成功登录杨**账号

三、漏洞总结：

1、a学校登录分为两步，b学校登录只需要一步。且该两个网站疑似共同同一个数据库。

2、b学校登录只有一步，无法直接获取到userid，所以可以在a学校中的第一步登录b学校学生，获取到b学校学生的userid。

3、通过userid越权绑定手机号，最终实现任意用户修改密码的组合拳漏洞。

建了个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞

圈子专注于更新src相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、小群一起挖洞

图片

图片

图片

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Z2O安全攻防 《src | 奇怪的任意用户重置密码组合拳漏洞》