2FA/MFA/OTP Bypass
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Para eludir 2FA, accede directamente al endpoint siguiente, conociendo la ruta es crucial. Si no tienes éxito, altera el header Referrer para imitar la navegación desde la página de verificación de 2FA.
Reutilizar tokens previamente utilizados para la autenticación dentro de una cuenta puede ser efectivo.
Extraer un token de la propia cuenta para eludir 2FA en otra cuenta puede ser intentado.
Investiga si el token se divulga en una respuesta de la aplicación web.
Usar el enlace de verificación de correo electrónico enviado al crear la cuenta puede permitir el acceso al perfil sin 2FA, como se destaca en una publicación detallada.
Iniciar sesiones tanto para la cuenta del usuario como para la de una víctima, y completar 2FA para la cuenta del usuario sin proceder, permite intentar acceder al siguiente paso en el flujo de la cuenta de la víctima, explotando las limitaciones de gestión de sesiones en el backend.
Investigar la función de restablecimiento de contraseña, que inicia sesión a un usuario en la aplicación después del restablecimiento, por su potencial para permitir múltiples restablecimientos usando el mismo enlace es crucial. Iniciar sesión con las credenciales recién restablecidas podría eludir 2FA.
Comprometer la cuenta de un usuario en una plataforma OAuth de confianza (por ejemplo, Google, Facebook) puede ofrecer una ruta para eludir 2FA.
La falta de un límite en el número de intentos de código permite ataques de fuerza bruta, aunque se debe considerar un posible limitador de tasa silencioso.
Ten en cuenta que incluso si hay un límite de tasa, deberías intentar ver si la respuesta es diferente cuando se envía el OTP válido. En esta publicación, el cazador de bugs descubrió que incluso si se activa un límite de tasa después de 20 intentos fallidos al responder con 401, si se envió el válido se recibió una respuesta 200.
Un ataque de fuerza bruta lento es viable donde existen límites de flujo sin un límite general.
Reenviar el código restablece el límite de tasa, facilitando intentos de fuerza bruta continuos.
Un documento detalla técnicas para eludir la limitación de tasa del lado del cliente.
Los límites de tasa pueden proteger los intentos de inicio de sesión, pero no las acciones internas de la cuenta.
El reenvío excesivo de códigos a través de SMS incurre en costos para la empresa, aunque no elude 2FA.
La generación infinita de OTP con códigos simples permite la fuerza bruta al volver a intentar un pequeño conjunto de códigos.
Explotar condiciones de carrera para eludir 2FA se puede encontrar en un documento específico.
Explorar vulnerabilidades CSRF o Clickjacking para deshabilitar 2FA es una estrategia viable.
Adivinar el valor de la cookie "recordarme" puede eludir restricciones.
Suplantar la dirección IP de la víctima a través del header X-Forwarded-For puede eludir restricciones.
Probar subdominios puede usar versiones desactualizadas que carecen de soporte para 2FA o contener implementaciones vulnerables de 2FA.
Las versiones antiguas de API, indicadas por rutas de directorio /v*/, pueden ser vulnerables a métodos de bypass de 2FA.
Terminar sesiones existentes al activar 2FA asegura cuentas contra accesos no autorizados desde sesiones comprometidas.
La generación inmediata y la posible recuperación no autorizada de códigos de respaldo al activar 2FA, especialmente con configuraciones incorrectas de CORS/vulnerabilidades XSS, representa un riesgo.
La divulgación de información sensible (por ejemplo, número de teléfono) en la página de verificación de 2FA es una preocupación.
Un proceso que demuestra un posible método de bypass implica la creación de una cuenta, activación de 2FA, restablecimiento de contraseña y posterior inicio de sesión sin el requisito de 2FA.
Utilizar solicitudes de señuelo para ofuscar intentos de fuerza bruta o desviar mecanismos de limitación de tasa añade otra capa a las estrategias de bypass. Elaborar tales solicitudes requiere un entendimiento matizado de las medidas de seguridad de la aplicación y los comportamientos de limitación de tasa.
En caso de que el OTP se cree en base a datos que el usuario ya tiene o que se envían previamente para crear el OTP, es posible que el usuario también pueda generarlo y eludirlo.
P
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)