ptt 最近發了一個功能叫做 /recover 所以我就順手看了一下相關的 source code: https://github.com/ptt/pttbbs/blob/master/mbbsd/recover.cc 詳見: https://webptt.com/m.aspx?n=bbs/SYSOP/M.1603325969.A.7F6.html 大家都知道 random number 是很容易有機可趁的東西 只要你的 seed 跟算法被知道, 那大多都是可預測的 ptt 的整個登入流程大概是, 接收 client, 然後 fork 出來服務 所以每個 client 都會有獨立的 pid 而 ptt 在 login 時就決定了 random seed 詳見: https://github.com/ptt/pttbbs/blob/7296640ed0d9885c8494b7d63809858996d9e56d/mbbsd/mbbsd.c#L1433 ptt 的 random 算法則是用 glibc 內標準的算法 https://github.com/ptt/pttbbs/blob/master/include/cmdiet.h recover 功能的流程大概是這樣的: 1. /recover 打下去先給你一段 recaptcha 2. 驗證後輸入 username 以及 email 3. 發 token 到你的 email 4. 驗證 token 並 reset password 其中第一個步驟的 recaptcha 就含有了 random 產生的 text 例如它會給我這段: https://webptt.com/m.aspx?n=/captcha?handle=DefWcEgFufbhWYeGtfTCWaWUaxLWcUwd handle 後面的 32 位元 text 其實就是由: https://github.com/ptt/pttbbs/blob/7296640ed0d9885c8494b7d63809858996d9e56d/mbbsd/captcha.c#L190 這裡來的, 這意味著我只要透過暴力方式, 先跟 ptt server 上校正好時間, 那剩餘的變數就是 pid 了 由於這會是第一個 random text, 所以我只要把 mysrand() 內的 srandom(time(NULL) + getpid()); 其中的 getpid() 用暴力法, 然後能產生跟我畫面上看到的 32 bytes 字串一樣的值 那等於我已經破解了這個 login session 之後會產生的 random text 之後上面流程中的第四步, 就算我不知道正確的 code (不是 email 本人) 也能破解掉任意使用者並 reset password 因為它也 random text 來的 30 bytes: https://github.com/ptt/pttbbs/blob/7296640ed0d9885c8494b7d63809858996d9e56d/mbbsd/recover.cc#L153 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.36.26.240 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1603359702.A.165.html 這是我隨意看 code 五分鐘看見的東西 說不定是不可行的, 分享出來給大家討論討論 ※ 編輯: kloer (114.36.26.240 臺灣), 10/22/2020 17:53:37 對, 標題誇大了 其實是只要知道對方 email 就行了 不用真的需要該 email 權限也能任意拿到可以 reset 密碼的 code ※ 編輯: kloer (114.36.26.240 臺灣), 10/22/2020 18:23:34 例如你知道你同學的 ptt 帳號是 AAAA 然後它的學校信箱是 [email protected] 那它大概就能破解了 ※ 編輯: kloer (114.36.26.240 臺灣), 10/22/2020 18:24:18 pid 了不起 1 ~ 100k 之間 夠快的電腦數秒間就能快速產生某一個 100k 個 seed 的 handle string 然後直接程式化比對螢幕當下拿到的 string ※ 編輯: kloer (114.36.26.240 臺灣), 10/22/2020 18:39:55 ※ 編輯: kloer (114.36.26.240 臺灣), 10/23/2020 08:19:45