2FA/MFA/OTP Bypass
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Щоб обійти 2FA, отримайте доступ до наступної кінцевої точки безпосередньо, знаючи шлях, що є вирішальним. Якщо не вдається, змініть Referrer header, щоб імітувати навігацію з сторінки перевірки 2FA.
Повторне використання раніше використаних токенів для аутентифікації в обліковому записі може бути ефективним.
Спробуйте витягти токен зі свого облікового запису, щоб обійти 2FA в іншому обліковому записі.
Досліджуйте, чи токен розкритий у відповіді від веб-додатку.
Використання посилання для перевірки електронної пошти, надісланого під час створення облікового запису, може дозволити доступ до профілю без 2FA, як зазначено в детальному посту.
Ініціювання сесій для облікового запису користувача та облікового запису жертви, а також завершення 2FA для облікового запису користувача без продовження, дозволяє спробувати отримати доступ до наступного кроку в потоці облікового запису жертви, експлуатуючи обмеження управління сесіями на бекенді.
Дослідження функції скидання пароля, яка входить у додаток після скидання, для її потенціалу дозволити кілька скидань за допомогою одного посилання є вирішальним. Увійшовши з новими обліковими даними, можна обійти 2FA.
Компрометація облікового запису користувача на надійній OAuth платформі (наприклад, Google, Facebook) може запропонувати шлях для обходу 2FA.
Відсутність обмеження на кількість спроб коду дозволяє атаки методом грубої сили, хоча слід враховувати потенційне тихе обмеження швидкості.
Повільна атака методом грубої сили є життєздатною, де існують обмеження швидкості потоку без загального обмеження швидкості.
Повторна відправка коду скидає обмеження швидкості, що полегшує продовження спроб методом грубої сили.
Документ містить техніки для обходу обмеження швидкості на стороні клієнта.
Обмеження швидкості можуть захищати спроби входу, але не внутрішні дії облікового запису.
Надмірна повторна відправка кодів через SMS несе витрати для компанії, хоча це не обходить 2FA.
Нескінченна генерація OTP з простими кодами дозволяє атаки методом грубої сили, повторюючи невелику кількість кодів.
Експлуатація гонок для обходу 2FA може бути знайдена в конкретному документі.
Дослідження уразливостей CSRF або Clickjacking для відключення 2FA є життєздатною стратегією.
Вгадування значення куки "запам'ятати мене" може обійти обмеження.
Імітація IP-адреси жертви через заголовок X-Forwarded-For може обійти обмеження.
Тестування піддоменів може використовувати застарілі версії, які не підтримують 2FA або містять вразливі реалізації 2FA.
Старі версії API, вказані шляхами директорій /v*/, можуть бути вразливими до методів обходу 2FA.
При завершенні існуючих сесій після активації 2FA облікові записи захищені від несанкціонованого доступу з компрометованих сесій.
Негайне створення та потенційне несанкціоноване отримання резервних кодів після активації 2FA, особливо з неправильними налаштуваннями CORS/XSS уразливостями, становить ризик.
Розкриття чутливої інформації (наприклад, номер телефону) на сторінці перевірки 2FA є проблемою.
Процес, що демонструє потенційний метод обходу, включає створення облікового запису, активацію 2FA, скидання пароля та подальший вхід без вимоги 2FA.
Використання декой-запитів для затемнення спроб методом грубої сили або введення в оману механізмів обмеження швидкості додає ще один рівень до стратегій обходу. Створення таких запитів вимагає тонкого розуміння заходів безпеки додатку та поведінки обмеження швидкості.
У разі, якщо OTP створюється на основі даних, які користувач вже має, або які надсилаються раніше для створення OTP, користувач також може його згенерувати та обійти.
P
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
