Verwenden Sie [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), um mühelos **Workflows zu erstellen und zu automatisieren**, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden.\
<summary><strong>Erlernen Sie AWS-Hacking von Null zum Profi mit</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegramm-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
Für ein tiefes Verständnis dieser Technik lesen Sie den Originalbericht unter [https://portswigger.net/research/smashing-the-state-machine](https://portswigger.net/research/smashing-the-state-machine)
Das Hauptproblem bei der Ausnutzung von Rennbedingungen besteht darin, sicherzustellen, dass mehrere Anfragen gleichzeitig bearbeitet werden, mit **sehr geringen Unterschieden in ihren Verarbeitungszeiten - idealerweise weniger als 1 ms**.
* **HTTP/2**: Unterstützt das Senden von zwei Anfragen über eine einzelne TCP-Verbindung und verringert den Einfluss von Netzwerk-Jitter. Aufgrund von serverseitigen Variationen reichen jedoch zwei Anfragen möglicherweise nicht für einen konsistenten Rennbedingungsangriff aus.
* **HTTP/1.1 'Letzte-Byte-Synchronisierung'**: Ermöglicht das Vorsenden der meisten Teile von 20-30 Anfragen, wobei ein kleines Fragment zurückgehalten wird, das dann zusammen gesendet wird und gleichzeitig beim Server ankommt.
Das nachfolgende Senden zurückgehaltener Frames sollte zu deren Ankunft in einem einzelnen Paket führen, was über Wireshark überprüfbar ist. Diese Methode gilt nicht für statische Dateien, die normalerweise nicht in RC-Angriffen involviert sind.
Das Verständnis der Architektur des Ziels ist entscheidend. Front-End-Server können Anfragen möglicherweise unterschiedlich routen, was die Zeitplanung beeinflusst. Eine vorbeugende serverseitige Verbindungsaufwärmung durch belanglose Anfragen könnte die Zeitplanung von Anfragen normalisieren.
Frameworks wie der PHP-Sitzungshandler serialisieren Anfragen nach Sitzung und können Schwachstellen verschleiern. Die Verwendung unterschiedlicher Sitzungstoken für jede Anfrage kann dieses Problem umgehen.
Wenn die Verbindungsaufwärmung nicht wirksam ist, kann das absichtliche Auslösen von Verzögerungen durch Webserver-Raten- oder Ressourcenbeschränkungen durch eine Flut von Dummy-Anfragen den Ein-Paket-Angriff erleichtern, indem eine serverseitige Verzögerung induziert wird, die Rennbedingungen begünstigt.
* **Tubo Intruder - HTTP2 Single-Paket-Angriff (1 Endpunkt)**: Sie können die Anfrage an **Turbo Intruder** senden (`Erweiterungen` -> `Turbo Intruder` -> `An Turbo Intruder senden`), Sie können in der Anfrage den Wert, den Sie für das Brute-Forcing wünschen, ändern für **`%s`** wie in `csrf=Bn9VQB8OyefIs3ShR2fPESR0FzzulI1d&username=carlos&password=%s` und dann das **`examples/race-single-packer-attack.py`** aus dem Dropdown auswählen:
* **Tubo Intruder - HTTP2 single-packet attack (Mehrere Endpunkte)**: Falls Sie eine Anfrage an einen Endpunkt senden müssen und dann mehrere an andere Endpunkte, um die RCE auszulösen, können Sie das Skript `race-single-packet-attack.py` wie folgt ändern:
* Für das **Verbindungsaufwärmen** könnten Sie **am Anfang** der **Gruppe** einige **Anfragen** zu einem nicht statischen Teil des Webservers hinzufügen.
* Um den Prozess **zwischen** der Verarbeitung **einer Anfrage und einer anderen** in 2 Unterzuständen zu **verzögern**, könnten Sie **zusätzliche Anfragen zwischen** beiden Anfragen hinzufügen.
* Für ein **Multi-Endpoint** RC könnten Sie die **Anfrage starten**, die **zum versteckten Zustand führt**, und dann **50 Anfragen** direkt danach senden, die **den versteckten Zustand ausnutzen**.
* **Automatisiertes Python-Skript**: Das Ziel dieses Skripts ist es, die E-Mail eines Benutzers zu ändern, während sie kontinuierlich überprüft wird, bis der Bestätigungstoken der neuen E-Mail an die letzte E-Mail gesendet wird (dies liegt daran, dass im Code ein RC gesehen wurde, bei dem es möglich war, eine E-Mail zu ändern, aber die Bestätigung an die alte E-Mail gesendet wurde, weil die Variable, die die E-Mail angibt, bereits mit der ersten befüllt war).\
Wenn das Wort "objetivo" in den empfangenen E-Mails gefunden wird, wissen wir, dass wir den Bestätigungstoken der geänderten E-Mail erhalten haben, und beenden den Angriff.
Vor der vorherigen Forschung wurden einige Payloads verwendet, die einfach versuchten, die Pakete so schnell wie möglich zu senden, um eine RC zu verursachen.
* **Intruder:** Senden Sie die **Anfrage** an **Intruder**, setzen Sie die **Anzahl der Threads** im **Optionsmenü auf 30** und wählen Sie als Payload **Null-Payloads** aus und generieren Sie **30.**
Dies ist die grundlegendste Art von Race Condition, bei der **Schwachstellen** auftreten, die die Anzahl der Male begrenzen, die eine Aktion ausgeführt werden kann. Zum Beispiel das mehrfache Verwenden desselben Rabattcodes in einem Webshop. Ein sehr einfaches Beispiel findet sich in [**diesem Bericht**](https://medium.com/@pravinponnusamy/race-condition-vulnerability-found-in-bug-bounty-program-573260454c43) oder in [**diesem Bug**](https://hackerone.com/reports/759247).
Das Ausnutzen komplexer Race Conditions beinhaltet oft die Nutzung kurzer Gelegenheiten, um mit versteckten oder **unerwünschten maschinellen Unterzuständen** zu interagieren. So gehen Sie vor:
* Beginnen Sie damit, Endpunkte zu ermitteln, die kritische Daten wie Benutzerprofile oder Passwortzurücksetzungsprozesse ändern oder mit ihnen interagieren. Konzentrieren Sie sich auf:
* **Speicherung**: Bevorzugen Sie Endpunkte, die serverseitige persistente Daten manipulieren, gegenüber denen, die Daten clientseitig verarbeiten.
* **Aktion**: Suchen Sie nach Operationen, die vorhandene Daten ändern, da diese eher ausnutzbare Bedingungen schaffen als solche, die neue Daten hinzufügen.
* **Schlüsselung**: Erfolgreiche Angriffe beinhalten normalerweise Operationen, die auf demselben Identifikator basieren, z. B. Benutzername oder Zurücksetzungstoken.
* Testen Sie die identifizierten Endpunkte mit Race-Condition-Angriffen und beobachten Sie Abweichungen von den erwarteten Ergebnissen. Unerwartete Antworten oder Änderungen im Anwendungsverhalten können auf eine Schwachstelle hinweisen.
* Reduzieren Sie den Angriff auf die minimale Anzahl von Anfragen, die benötigt werden, um die Schwachstelle auszunutzen, oft nur zwei. Dieser Schritt erfordert möglicherweise mehrere Versuche oder Automatisierung aufgrund des präzisen Timing.
Präzision beim Zeitpunkt von Anfragen kann Schwachstellen aufdecken, insbesondere wenn vorhersehbare Methoden wie Zeitstempel für Sicherheitstoken verwendet werden. Beispielsweise könnten durch die Generierung von Passwortzurücksetzungstoken basierend auf Zeitstempeln identische Tokens für gleichzeitige Anfragen ermöglicht werden.
* Verwenden Sie präzises Timing, wie bei einem Einzelpaketangriff, um gleichzeitige Passwortzurücksetzungsanfragen zu stellen. Identische Tokens deuten auf eine Schwachstelle hin.
* Fordern Sie gleichzeitig zwei Passwortzurücksetzungstoken an und vergleichen Sie sie. Übereinstimmende Tokens deuten auf einen Fehler in der Token-Generierung hin.
**Überprüfen Sie dieses** [**PortSwigger Lab**](https://portswigger.net/web-security/race-conditions/lab-race-conditions-exploiting-time-sensitive-vulnerabilities) **um dies auszuprobieren.**
Überprüfen Sie dieses [**PortSwigger Lab**](https://portswigger.net/web-security/logic-flaws/examples/lab-logic-flaws-insufficient-workflow-validation), um zu sehen, wie Sie in einem Geschäft **bezahlen** und einen zusätzlichen Artikel hinzufügen können, für den Sie nicht bezahlen müssen.
Die Idee ist es, eine E-Mail-Adresse zu **überprüfen** und sie gleichzeitig in eine andere zu ändern, um herauszufinden, ob die Plattform die neue geänderte Adresse überprüft.
Laut [**dieser Forschung**](https://portswigger.net/research/smashing-the-state-machine) war Gitlab auf diese Weise anfällig für eine Übernahme, da es den **E-Mail-Bestätigungstoken einer E-Mail an die andere E-Mail senden könnte**.
**Überprüfen Sie dieses** [**PortSwigger Lab**](https://portswigger.net/web-security/race-conditions/lab-race-conditions-single-endpoint) **um dies auszuprobieren.**
Wenn **2 verschiedene Schreibvorgänge** verwendet werden, um **Informationen** in einer **Datenbank hinzuzufügen**, gibt es einen kurzen Zeitraum, in dem **nur die erste Daten** in die Datenbank geschrieben wurden. Beispielsweise könnten bei der Erstellung eines Benutzers der **Benutzername** und das **Passwort** geschrieben werden und dann das Token zur Bestätigung des neu erstellten Kontos. Dies bedeutet, dass für kurze Zeit das **Token zur Bestätigung eines Kontos null ist**.
Daher könnte das **Registrieren eines Kontos und das Senden mehrerer Anfragen mit einem leeren Token** (`token=` oder `token[]=` oder einer anderen Variation) zur sofortigen Bestätigung des Kontos ermöglichen, ein Konto zu bestätigen, bei dem Sie die E-Mail nicht kontrollieren.
**Überprüfen Sie dieses** [**PortSwigger Lab**](https://portswigger.net/web-security/race-conditions/lab-race-conditions-partial-construction) **um dies auszuprobieren.**
Der folgende Pseudocode ist anfällig für eine Race Condition, weil in einem sehr kurzen Zeitraum die **2FA nicht durchgesetzt wird**, während die Sitzung erstellt wird:
Es gibt mehrere [**OAuth-Anbieter**](https://en.wikipedia.org/wiki/List\_of\_OAuth\_providers). Diese Dienste ermöglichen es Ihnen, eine Anwendung zu erstellen und Benutzer zu authentifizieren, die der Anbieter registriert hat. Um dies zu tun, muss der **Client** Ihrer Anwendung erlauben, auf einige ihrer Daten innerhalb des **OAuth-Anbieters** zuzugreifen.\
Also, bis hierhin nur ein üblicher Login mit Google/LinkedIn/GitHub... wo Sie mit einer Seite aufgefordert werden, die besagt: "_Anwendung \<InsertCoolName> möchte auf Ihre Informationen zugreifen, möchten Sie dies zulassen?_"
Das **Problem** tritt auf, wenn Sie es **akzeptieren** und automatisch einen **`authorization_code`** an die bösartige Anwendung senden. Dann missbraucht diese **Anwendung eine Race Condition im OAuth-Dienstanbieter, um mehr als ein AT/RT** (_Authentication Token/Refresh Token_) aus dem **`authorization_code`** für Ihr Konto zu generieren. Grundsätzlich wird sie den Umstand ausnutzen, dass Sie der Anwendung erlaubt haben, auf Ihre Daten zuzugreifen, um **mehrere Konten zu erstellen**. Dann, wenn Sie der Anwendung **die Erlaubnis entziehen, auf Ihre Daten zuzugreifen, wird ein Paar AT/RT gelöscht, aber die anderen werden weiterhin gültig sein**.
Sobald Sie einen gültigen RT erhalten haben, könnten Sie versuchen, ihn zu missbrauchen, um mehrere AT/RT zu generieren, und **selbst wenn der Benutzer die Berechtigungen** für die bösartige Anwendung zum Zugriff auf seine Daten **widerruft, werden mehrere RTs weiterhin gültig sein**.
In [**WS\_RaceCondition\_PoC**](https://github.com/redrays-io/WS\_RaceCondition\_PoC) finden Sie einen PoC in Java, um WebSocket-Nachrichten **parallel** zu senden und **Race Conditions auch in WebSockets** auszunutzen.
<summary><strong>Erlernen Sie AWS-Hacking von Grund auf mit</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben** oder **HackTricks im PDF-Format herunterladen** möchten, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) Github-Repositories einreichen.
Verwenden Sie [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), um mithilfe der weltweit **fortschrittlichsten Community-Tools****Workflows zu erstellen und zu automatisieren**.\
