文章总结： 本文记录了一次众测中发现的任意用户修改密码漏洞，攻击者仅需获取目标用户的账号和手机号即可绕过验证码机制，通过固定ID值永久修改用户密码。文章详细描述了通过Fofa资产发现、JS文件分析、FindSomething插件配合URL批量测试发现注册接口，并利用信息泄露接口获取用户联系方式完成漏洞验证的全过程。作者强调漏洞危害性并提醒渗透需授权。 综合评分： 73 文章分类： 漏洞分析,WEB安全,实战经验,社会工程学,安全工具

记一次众测发现的任意用户修改密码

zkaq -郑居中 zkaq -郑居中

掌控安全EDU

2026年6月18日 12:14 江西

在小说阅读器读本章

去阅读

扫码领资料

获网安教程

本文由掌控安全学院 – zkaq -郑居中 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

0x1 前言

某次众测，在测试过程中，发现平台在用户身份验证机制上的关键缺陷，导致仅需获取目标用户的用户名和手机号，即可实现任意用户密码的修改。这一问题显然暴露了平台在身份认证设计中的重大安全隐患。

这一漏洞的利用门槛相对较低，攻击者可以通过社会工程学或公开信息获取目标用户的基本信息，然后直接发起攻击，劫持用户账户。漏洞的影响不仅局限于个人隐私和账户安全，还可能对整个平台的核心业务和用户信任造成严重威胁

0x2 漏洞案列

通过fofa找到资产中的一个采购平台。

在修改密码处，需要身份验证码。

测试过后发现在身份验证中，要求手机号和用户账号要保持一直。但是我们现在没有账号，在主页中也没有发现注册的功能点，开始分析js文件，观察findsomething插件，看是否存在注册接口。

给大家推荐一个比较好用的插件，配合findsomething简直无敌了。

findsomething点击复制url

将复制的url粘贴到这个里面，点击openurls，该插件就会将所有的url在当前浏览器中，都跑一边。

下载地址： https://github.com/htrinter/Open-Multiple-URLs

但是缺点也很明显，findsomething插件复制出来的的url，都是自动拼接到根路径。 如：https://baidu.com/aooucth 而网站真正的路径可能前面存在固定路径，如：https://baidu.com/固定路径/aooucth 这样的，遇到这种问题，还需要师傅们自己拼接，或者通过burp爆破。

再次这个网站就是这样的，在findsomething，发现/page/supplier/register/register.html,直接拼接会跳转到主页，在固定路径后拼接就可注册了。

正常注册账号后，忘记密码处，输入正确的账号和手机号，获取数据包。

发现在数据包中，并没有验证验证码的对错，输入正确的绑定关系的账号和手机号，直接返回一个result值。 只需要将账号和手机号比对正确，就会获取到一个 result，页面跳转到 https:/xxx/pass.html?id=xxxxx6xxxxxxxxxxxxxx

此时大家都能想到该id值，就是修改用户密码的关键，只要获取到用户名和手机号就可以无需验证码修改了。 在下面的链接替换其中的 id 值，即可无需验证码修改对应账号的密码。 而且我还发现，这个 result 值永久不会变化，只要获取到受害者的 result 值，，即使对方修改密码后，我们也可再次修改，无论何时都可修改受害者密码。

漏洞横向

理论是可以的，然后我们现在就是像如何获取受害者的账号和手机号呢？

登陆后拿到cookie，再次将findsomething的接口报一遍，刚好泄露用户联系方式。 在https://xxxx/。。。。/getAnnouncement 接口泄露人员的联系方式和邮箱。

然后根据姓名和手机号进行爆破，运气也是好炸天了。

替换id值后，也确实可以修改用户的密码，在这里就没有修改，众测嘛，证明危害即可，不能影响正常的业务。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

![](https://mmbiz.qpic.cn/mmbiz_gif/BwqHlJ29vcqJvF3Qicdr3GR5xnNYic4wHWaCD3pqD9SSJ3YMhuahjm3anU6mlEJaepA8qOwm3C4GVIETQZT6uHGQ/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=15)

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+靶场账号哦

![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcrpvQG1VKMy1AQ1oVvUSeZYhLRYCeiaa3KSFkibg5xRjLlkwfIe7loMVfGuINInDQTVa4BibicW0iaTsKw/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=16)

 分享后扫码加我！

回顾往期内容

Xray挂机刷漏洞

零基础学黑客，该怎么学？

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

代码审计 | 这个CNVD证书拿的有点轻松

【精选】SRC快速入门+上分小秘籍+实战指南

## 代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

![](https://mmbiz.qpic.cn/mmbiz_gif/BwqHlJ29vcqJvF3Qicdr3GR5xnNYic4wHWaCD3pqD9SSJ3YMhuahjm3anU6mlEJaepA8qOwm3C4GVIETQZT6uHGQ/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=17)

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq -郑居中 zkaq -郑居中《记一次众测发现的任意用户修改密码》