2023-07-30 23:08:56 +00:00
|
|
|
|
# 2FA/OTP バイパス
|
|
|
|
|
|
2022-04-28 16:01:33 +00:00
|
|
|
|
<details>
|
|
|
|
|
|
2023-04-25 18:35:28 +00:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
|
|
|
|
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
|
|
|
|
|
* [**公式のPEASS&HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
|
2023-08-16 05:18:52 +00:00
|
|
|
|
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォロー**してください。
|
2023-10-05 10:27:09 +00:00
|
|
|
|
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
</details>
|
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
## **2要素認証のバイパス**
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### **直接バイパス**
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
2FAをバイパスするには、単に**次のエンドポイントに直接アクセス**してみてください(次のエンドポイントのパスを知る必要があります)。これが機能しない場合は、2FAページから来たかのように**リファラーヘッダー**を変更してみてください。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### **トークンの再利用**
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
以前にアカウント内で使用されたトークンを再利用して認証することができるかもしれません。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### 未使用のトークンの共有
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
アカウントからトークンを取得し、別のアカウントで2FAをバイパスするために使用できるか確認してください。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### リークしたトークン
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
トークンはWebアプリケーションのレスポンスで漏洩しているかどうかを確認してください。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### メールの確認リンク
|
|
|
|
|
|
|
|
|
|
アカウント作成時に受け取った**メールの確認リンク**を使用して、2FAが設定されていてもそのリンクだけでプロフィールにアクセスできるか試してみてください([記事](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b))。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### セッションの権限
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
同じセッションを使用して、自分のアカウントと被害者のアカウントでフローを開始します。両方のアカウントで2FAポイントに到達したら、自分のアカウントで2FAを完了させずに次のステップに被害者のアカウントのフローでアクセスしようとしてください。バックエンドがセッション内のブール値を設定して、2FAを正常にパスしたことを示している場合、被害者の2FAをバイパスすることができます。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### **パスワードリセット機能**
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
ほとんどのWebアプリケーションでは、パスワードリセット機能はリセット手順が完了した後にユーザーを自動的にアプリケーションにログインさせます。\
|
|
|
|
|
メールが送信され、パスワードをリセットするためのリンクが含まれているかどうかを確認し、被害者がメールアドレスを変更してもそのリンクを**何度でも再利用**してパスワードをリセットできるかどうかを確認してください。
|
|
|
|
|
|
|
|
|
|
パスワードリセット機能を使用して2FAをバイパスする別の方法は、メールにアクセスできる状態でパスワードをリセットし、**新しいパスワードでログイン**することです。パスワード変更後に2FAが使用されない可能性があります。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### OAuth
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
信頼された**OAuth**プラットフォーム(Google、Facebook...)でユーザーのアカウントを侵害できる場合
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### ブルートフォース
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
#### レート制限の不足
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
試行することができるコードの数に制限があるかどうかを確認して、単純にブルートフォースできるかどうかを確認してください。潜在的な「サイレント」レート制限に注意して、実際のコードを確認するためにいくつかのコードを試してから本物のコードを試してください。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-08-16 05:18:52 +00:00
|
|
|
|
#### フローレート制限があるがレート制限がない場合
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
この場合、フローレート制限があります(非常にゆっくりとブルートフォースする必要があります:1つのスレッドと2回の試行前に一定時間スリープします)、しかしレート制限はありません。十分な時間があれば、有効なコードを見つけることができるでしょう。
|
2023-07-30 23:08:56 +00:00
|
|
|
|
|
|
|
|
|
#### コードの再送信と制限のリセット
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-08-16 05:18:52 +00:00
|
|
|
|
レート制限があるが、「コードを再送信」すると同じコードが送信され、レート制限がリセットされます。そのため、コードを再送信する間にコードをブルートフォースして、レート制限に達しないようにすることができます。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
#### クライアント側のレート制限バイパス
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2021-10-18 11:21:18 +00:00
|
|
|
|
{% content-ref url="rate-limit-bypass.md" %}
|
|
|
|
|
[rate-limit-bypass.md](rate-limit-bypass.md)
|
|
|
|
|
{% endcontent-ref %}
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
#### ユーザーアカウントのレート制限の不足
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
アカウント内の一部のアクション(メールの変更、パスワードなど)に対して2FAを設定できる場合があります。ただし、ログインしようとしたときにレート制限がある場合でも、アカウント内のアクションを保護するためのレート制限はありません。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
#### SMS経由でコードを再送信する際のレート制限の不足
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
2FAをバイパスすることはできませんが、会社のお金を無駄にすることはできます。
|
2021-01-07 12:13:26 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
#### 無限のOTP再生成
|
2021-01-07 12:13:26 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
新しいOTPを無限に生成でき、OTPが十分に単純(4桁の数字)であり、生成されたOTPごとに4つまたは5つのトークンを試すことができる場合、毎回同じ4つまたは5つのトークンを試して、一致するまでOTPを生成し続けることができます。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-08-16 05:18:52 +00:00
|
|
|
|
### レースコンディション
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-08-16 05:18:52 +00:00
|
|
|
|
次のページの2FAバイパスのセクションを確認してください:
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-08-16 05:18:52 +00:00
|
|
|
|
{% content-ref url="race-condition.md" %}
|
|
|
|
|
[race-condition.md](race-condition.md)
|
|
|
|
|
{% endcontent-ref %}
|
2023-10-05 10:27:09 +00:00
|
|
|
|
### CSRF/Clickjacking
|
2023-08-16 05:18:52 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
2FAを無効化するためのクロスサイトリクエストフォージェリ(CSRF)またはクリックジャッキングの脆弱性があるかどうかをチェックします。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
### 「Remember me」機能
|
2023-08-16 05:18:52 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
#### 推測可能なクッキー
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
「Remember me」機能が推測可能なコードを使用して新しいクッキーを使用している場合、それを推測してみてください。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
#### IPアドレス
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
「Remember me」機能があなたのIPアドレスに関連付けられている場合、被害者のIPアドレスを特定し、**X-Forwarded-For**ヘッダーを使用してそれをなりすますことができます。
|
2023-08-16 05:18:52 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### 古いバージョン
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
#### サブドメイン
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
ログイン機能を持つ「テスト」サブドメインを見つけることができれば、それらは2FAをサポートしていない古いバージョンを使用している可能性があります(そのため、直接バイパスされます)またはそれらのエンドポイントが脆弱な2FAのバージョンをサポートしている可能性があります。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
#### API
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
2FAが/v\*/ディレクトリ(例:"/v3/")の下にあるAPIを使用していることがわかった場合、おそらく古いAPIエンドポイントがあり、いくつかの種類の2FAバイパスに対して脆弱性がある可能性があります。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### 前のセッション
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
2FAが有効になっている場合、前のセッションは終了する必要があります。これは、クライアントがアカウントを侵害された場合、2FAを有効にして保護したい場合に、前のセッションが終了されていないと保護されないためです。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### バックアップコードへの不適切なアクセス制御
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
バックアップコードは、2FAが有効になった直後に生成され、単一のリクエストで利用できます。その後のリクエストごとにコードが再生成されるか変更されない(静的コード)場合、CORSの誤構成/XSSの脆弱性など、バックアップコードエンドポイントのレスポンスリクエストからバックアップコードを「引っ張る」ことができる他のバグがある場合、攻撃者はコードを盗み、ユーザー名とパスワードがわかっている場合に2FAをバイパスすることができます。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
### 情報漏洩
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-10-05 10:27:09 +00:00
|
|
|
|
2FAページに以前知らなかった機密情報が表示される場合、これは情報漏洩の脆弱性と見なされる可能性があります(例:電話番号)。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
### **パスワードリセット == 2FA無効化**
|
2021-10-07 09:43:36 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
1. アカウントを作成し、2FAをオンにします。
|
|
|
|
|
2. そのアカウントからログアウトします。
|
2023-10-05 10:27:09 +00:00
|
|
|
|
3. パスワードリセットページに移動します。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
4. パスワードを変更します。
|
2023-10-05 10:27:09 +00:00
|
|
|
|
5. 今度はログインしてみてください。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
6. 2FAコードの入力を求められない場合、報告できます。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
## 参考文献
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2021-01-19 09:59:01 +00:00
|
|
|
|
{% embed url="https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35" %}
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2021-01-19 09:59:01 +00:00
|
|
|
|
{% embed url="https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718" %}
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
2023-04-25 18:35:28 +00:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-30 23:08:56 +00:00
|
|
|
|
* **サイバーセキュリティ企業で働いていますか? HackTricksであなたの会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたりしたいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!**
|
2023-10-05 10:27:09 +00:00
|
|
|
|
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
|
|
|
|
|
* [**公式のPEASS&HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
|
|
|
|
|
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
|
2023-08-16 05:18:52 +00:00
|
|
|
|
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
</details>
|