八月初参加某市演练时遇到一个典型的逻辑漏洞，可以绕过验证码并且重置任意用户的密码。
首先访问页面，用户名处输入账号会回显用户名称，输入admin会回显系统管理员。（hvv的时候蓝队响应太快了，刚把admin的权限拿到了，蓝队就把admin账户禁用掉了,不过留了一手123456的账户）
 

点击忘记密码，发现回显一个用户手机号码，抓个包发现后端传过来的手机号码没有脱敏，但是前端显示却脱敏了，这就有趣了：
bp抓包分析发现管理员手机号泄露（仅是利用前端js将账户绑定的手机号码中间4位转换为*，数据包中的手机号码并未脱敏）。
将参数mobile修改为自己的手机号，而后放包抓返回包，发现返回报错，且参数有两个，一个是code,一个message。
 

一看就是前端js脱敏，所以查看前端js代码

发现个惊喜，data.code=0，抓个包看看，在响应包中发现code字段，乐开了花，存在前端验证：

重新发送验证码，将mobile字段去掉，不去掉的话就会发送短信给目标帐号了。
任意输入验证码，抓取响应包，将code字段改为0，然后进入密码修改界面，输入符合格式的密码：

填写完修改密码表单后，继续抓取修改密码的包，发现发送的参数里有code参数（后端验证码），将code参数去掉即可修改密码（原本保留code参数 code:”” 后端会回显错误，将其去掉就可正常修改密码，猜测是后端代码先判定是否存在code参数，若存在就将其与发送短信验证码api接口进行校验，若不存在就直接进行下一步修改密码）。

密码修改成功，进入后台，系统管理员权限，还神奇的发现有个系统切换功能，一个系统管理员有两个系统权限，乐开了花：还没看够？欢迎关注，带你走进黑客世界，下面也有免费的靶场视频

         还没看够？欢迎关注，带你走进黑客世界，下面也有免费的靶场视频免费领取安全学习资料包！一起学习，共同进步！https://docs.qq.com/doc/DRGJHbUxpTWR2Y3lq