Account Takeover
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Die e-pos van 'n rekening moet probeer word om verander te word, en die bevestigingsproses moet ondersoek word. As dit swak bevind word, moet die e-pos verander word na dié van die beoogde slagoffer en dan bevestig word.
Die rekening van die beoogde slagoffer victim@gmail.com
'n Rekening moet geskep word met behulp van Unicode
byvoorbeeld: vićtim@gmail.com
Soos verduidelik in hierdie praatjie, kan die vorige aanval ook gedoen word deur derdeparty identiteitsverskaffers te misbruik:
Skep 'n rekening in die derdeparty identiteitsverskaffer met 'n soortgelyke e-pos aan die slagoffer met behulp van 'n unicode karakter (vićtim@company.com
).
Die derdeparty verskaffer moet nie die e-pos verifieer nie.
As die identiteitsverskaffer die e-pos verifieer, kan jy dalk die domein deel aanval soos: victim@ćompany.com
en daardie domein registreer en hoop dat die identiteitsverskaffer die ascii weergawe van die domein genereer terwyl die slagoffer platform die domeinnaam normaliseer.
Teken in via hierdie identiteitsverskaffer in die slagoffer platform wat die unicode karakter moet normaliseer en jou toegang tot die slagoffer rekening moet toelaat.
Vir verdere besonderhede, verwys na die dokument oor Unicode Normalisering:
Unicode NormalizationAs die teikenstelsel die reset skakel toelaat om hergebruik te word, moet daar pogings aangewend word om meer reset skakels te vind met behulp van gereedskap soos gau
, wayback
, of scan.io
.
Die slagoffer se e-pos moet gebruik word om aan te meld op die platform, en 'n wagwoord moet gestel word (daar moet 'n poging aangewend word om dit te bevestig, alhoewel die gebrek aan toegang tot die slagoffer se e-posse dit onmoontlik kan maak).
'n Mens moet wag totdat die slagoffer aanmeld met behulp van OAuth en die rekening bevestig.
Daar word gehoop dat die gewone aanmelding bevestig sal word, wat toegang tot die slagoffer se rekening sal toelaat.
As die bladsy CORS misconfigurasies bevat, mag jy in staat wees om sensitiewe inligting van die gebruiker te steel om sy rekening oor te neem of hom te laat verander auth inligting vir dieselfde doel:
CORS - Misconfigurations & BypassAs die bladsy kwesbaar is vir CSRF mag jy in staat wees om die gebruiker sy wagwoord, e-pos of verifikasie te laat verander sodat jy dit dan kan toegang:
CSRF (Cross Site Request Forgery)As jy 'n XSS in die toepassing vind, mag jy in staat wees om koekies, plaaslike stoor, of inligting van die webblad te steel wat jou kan toelaat om die rekening oor te neem:
XSS (Cross Site Scripting)As jy 'n beperkte XSS of 'n subdomein oorneming vind, kan jy met die koekies speel (byvoorbeeld hulle fixeer) om te probeer om die slagoffer rekening te kompromitteer:
Cookies HackingAs die verifikasie antwoord verlaag kan word tot 'n eenvoudige boolean, probeer net om false na true te verander en kyk of jy enige toegang kry.
Die Gasheer kop word gewysig na 'n wagwoord reset versoek inisiëring.
Die X-Forwarded-For
proxy kop word verander na attacker.com
.
Die Gasheer, Verwysing, en Oorsprong koppe word gelyktydig verander na attacker.com
.
Na die inisiëring van 'n wagwoord reset en dan die keuse om die pos weer te stuur, word al drie van die bogenoemde metodes gebruik.
Kode Manipulasie: Die statuskode word verander na 200 OK
.
Kode en Liggaam Manipulasie:
Die statuskode word verander na 200 OK
.
Die antwoord liggaam word gewysig na {"success":true}
of 'n leë objek {}
.
Hierdie manipulasie tegnieke is effektief in scenario's waar JSON gebruik word vir data oordrag en ontvangs.
Van hierdie verslag:
Aanvaller versoek om sy e-pos met 'n nuwe een te verander
Aanvaller ontvang 'n skakel om die verandering van die e-pos te bevestig
Aanvaller stuur die slagoffer die skakel sodat hy dit klik
Die slagoffer se e-pos word verander na die een aangedui deur die aanvaller
Die aanvaller kan die wagwoord herstel en die rekening oorneem
Dit het ook gebeur in hierdie verslag.
Soos verduidelik in hierdie pos, was dit moontlik om in 'n rekening in te teken, die koekies as 'n geverifieerde gebruiker te stoor, uit te teken, en dan weer in te teken. Met die nuwe aanmelding, alhoewel verskillende koekies gegenereer mag word, het die oues weer begin werk.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)