# アカウント乗っ取り

<details>

<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**でAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong>!</strong></summary>

HackTricksをサポートする他の方法:

* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェック！
* [**公式PEASS＆HackTricksグッズ**](https://peass.creator-spring.com)を入手
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。

</details>

## **認証の問題**

アカウントのメールアドレスを変更し、確認プロセスを**検証**する必要があります。もし**脆弱**であれば、メールアドレスを被害者のものに変更してから確認します。

## **Unicode正規化の問題**

1. 標的の被害者のアカウント `victim@gmail.com`
2. Unicodeを使用してアカウントを作成する\
例: `vićtim@gmail.com`

[**このトーク**](https://www.youtube.com/watch?v=CiIyaZ3x49c)で説明されているように、前述の攻撃は第三者のIDプロバイダを悪用して行うこともできます:

* 類似したメールアドレスで第三者のIDにアカウントを作成する (`vićtim@company.com`).
* 第三者プロバイダがメールアドレスを確認しない場合
* IDプロバイダがメールアドレスを確認する場合、ドメイン部分を攻撃することができます。例: `victim@ćompany.com`というドメインを登録し、被害者プラットフォームがドメイン名を正規化する際にASCIIバージョンを生成することを期待します。
* このIDプロバイダを使用して、被害者アカウントにアクセスできるようになる被害者プラットフォームにログインします。

詳細については、Unicode正規化に関するドキュメントを参照してください:

{% content-ref url="unicode-injection/unicode-normalization.md" %}
[unicode-normalization.md](unicode-injection/unicode-normalization.md)
{% endcontent-ref %}

## **リセットトークンの再利用**

ターゲットシステムが**リセットリンクの再利用を許可**する場合、`gau`、`wayback`、または`scan.io`などのツールを使用して**さらにリセットリンクを見つける**努力を行う必要があります。

## **アカウント乗っ取りの前**

1. 被害者のメールアドレスを使用してプラットフォームにサインアップし、パスワードを設定します（確認を試みる必要がありますが、被害者のメールにアクセスできない場合はこれが不可能になる可能性があります）。
2. 被害者がOAuthを使用してサインアップし、アカウントを確認するまで待ちます。
3. 通常のサインアップが確認されることを期待し、被害者のアカウントにアクセスできるようにします。

## **アカウント乗っ取りのためのCORS構成ミス**

ページに**CORS構成ミス**が含まれている場合、ユーザから**機密情報を盗み出して**アカウントを乗っ取るか、ユーザに認証情報の変更を促す可能性があります:

{% content-ref url="cors-bypass.md" %}
[cors-bypass.md](cors-bypass.md)
{% endcontent-ref %}

## **Csrfを利用したアカウント乗っ取り**

ページがCSRFに対して脆弱である場合、**ユーザにパスワードの変更**、メールアドレスの変更、または認証情報の変更を行わせることができるかもしれません:

{% content-ref url="csrf-cross-site-request-forgery.md" %}
[csrf-cross-site-request-forgery.md](csrf-cross-site-request-forgery.md)
{% endcontent-ref %}

## **XSSを利用したアカウント乗っ取り**

アプリケーション内でXSSを見つけると、クッキー、ローカルストレージ、またはWebページから情報を盗み出すことができ、アカウントを乗っ取る可能性があります:

{% content-ref url="xss-cross-site-scripting/" %}
[xss-cross-site-scripting](xss-cross-site-scripting/)
{% endcontent-ref %}

## **Same Origin + クッキー**

限定されたXSSやサブドメインの乗っ取りを見つけた場合、クッキーを操作して（例: 固定化）、被害者アカウントを侵害しようとすることができます:

{% content-ref url="hacking-with-cookies/" %}
[hacking-with-cookies](hacking-with-cookies/)
{% endcontent-ref %}

## **パスワードリセットメカニズムへの攻撃**

{% content-ref url="reset-password.md" %}
[reset-password.md](reset-password.md)
{% endcontent-ref %}

## **レスポンスの操作**

認証応答が**単純なブール値に縮小**できる場合は、falseをtrueに変更してアクセスできるかどうかを確認してください。

## OAuthを利用したアカウント乗っ取り

{% content-ref url="oauth-to-account-takeover.md" %}
[oauth-to-account-takeover.md](oauth-to-account-takeover.md)
{% endcontent-ref %}

## ホストヘッダーインジェクション

1. パスワードリセットリクエストの開始時にホストヘッダーを変更します。
2. `X-Forwarded-For`プロキシヘッダーを`attacker.com`に変更します。
3. ホスト、リファラー、およびオリジンヘッダーを同時に`attacker.com`に変更します。
4. パスワードリセットを開始し、メールを再送信するときに、前述の3つの方法をすべて使用します。

## レスポンスの操作

1. **コードの操作**: ステータスコードを`200 OK`に変更します。
2. **コードと本文の操作**:
* ステータスコードを`200 OK`に変更します。
* レスポンス本文を`{"success":true}`または空のオブジェクト`{}`に変更します。

これらの操作技術は、データの送受信にJSONが使用されている場合に効果的です。

## 現在のセッションのメールアドレスを変更

[このレポート](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)によると:

* 攻撃者は新しいメールアドレスにメールアドレスを変更するようリクエストします
* 攻撃者はメールアドレスの変更を確認するリンクを受け取ります
* 攻撃者は被害者にリンクを送信してクリックさせます
* 被害者のメールアドレスが攻撃者が指定したものに変更されます
* 攻撃者はパスワードを回復してアカウントを乗っ取ることができます

これは[**このレポート**](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)でも起こりました。

### 旧クッキー

[**この投稿**](https://medium.com/@niraj1mahajan/uncovering-the-hidden-vulnerability-how-i-found-an-authentication-bypass-on-shopifys-exchange-cc2729ea31a9)で説明されているように、アカウントにログインし、認証されたユーザーとしてクッキーを保存し、ログアウトしてから再度ログインすることが可能でした。\
新しいログインでは異なるクッキーが生成されるかもしれませんが、古いクッキーが再び機能するようになりました。

## 参考文献

* [https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050](https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050)
* [https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)

<details>

<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**でAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong>!</strong></summary>

HackTricksをサポートする他の方法:

* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェック！
* [**公式PEASS＆HackTricksグッズ**](https://peass.creator-spring.com)を入手
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。

</details>
</details>  

## アカウント乗っ取り

アカウント乗っ取りは、攻撃者が他のユーザーのアカウントに不正にアクセスするために使用される一般的なテクニックです。これは、パスワードのリーク、ソーシャルエンジニアリング、フィッシング攻撃などさまざまな手法を使用して達成されることがあります。アカウント乗っ取りは、悪意のある攻撃者が被害者の個人情報や機密データにアクセスし、悪用する可能性があるため、重大なセキュリティリスクです。