hacktricks/pentesting-web/oauth-to-account-takeover.md

OAuth to Account takeover

Learn AWS hacking from zero to hero with htARTE (HackTricks AWS Red Team Expert)!

Other ways to support HackTricks:

• If you want to see your company advertised in HackTricks or download HackTricks in PDF Check the SUBSCRIPTION PLANS!
• Get the official PEASS & HackTricks swag
• Discover The PEASS Family, our collection of exclusive NFTs
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @carlospolopm.
• Share your hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% embed url="https://websec.nl/" %}

Basic Information

OAuthにはさまざまなバージョンがあり、基本的な情報はOAuth 2.0 documentationで確認できます。この議論は主に広く使用されているOAuth 2.0 authorization code grant typeに焦点を当てており、アプリケーションが他のアプリケーション（認可サーバー）でユーザーのアカウントにアクセスまたは操作を行うことを可能にする認可フレームワークを提供します。

仮想のウェブサイト_https://example.com_を考えてみましょう。このサイトはあなたのすべてのソーシャルメディア投稿を表示することを目的としています（プライベートな投稿も含む）。これを実現するために、OAuth 2.0が使用されます。_https://example.com_はあなたのソーシャルメディア投稿にアクセスする許可を求めます。その結果、_https://socialmedia.com_で同意画面が表示され、要求されている権限とリクエストを行っている開発者が示されます。あなたが認可すると、_https://example.com_はあなたに代わってあなたの投稿にアクセスすることができるようになります。

OAuth 2.0フレームワーク内の以下のコンポーネントを理解することが重要です：

• resource owner: あなた、つまりリソースにアクセスすることを認可するユーザー/エンティティ。例えば、あなたのソーシャルメディアアカウントの投稿。
• resource server: アプリケーションがaccess tokenを取得した後に認証されたリクエストを管理するサーバー。例：https://socialmedia.com。
• client application: resource ownerからの認可を求めるアプリケーション。例：https://example.com。
• authorization server: resource ownerの認証が成功し、認可が得られた後にclient applicationにaccess tokensを発行するサーバー。例：https://socialmedia.com。
• client_id: アプリケーションの公開されている一意の識別子。
• client_secret: アプリケーションと認可サーバーだけが知っている秘密鍵で、access_tokensを生成するために使用されます。
• response_type: 要求されるトークンの種類を指定する値。例：code。
• scope: client applicationがresource ownerから要求するアクセスレベル。
• redirect_uri: 認可後にユーザーがリダイレクトされるURL。通常、事前に登録されたリダイレクトURLと一致する必要があります。
• state: ユーザーの認可サーバーへのリダイレクトと戻りの間にデータを保持するためのパラメータ。その一意性はCSRF保護メカニズムとして機能するために重要です。
• grant_type: グラントタイプと返されるトークンの種類を示すパラメータ。
• code: authorization serverからの認可コードで、client_idおよびclient_secretと共にaccess_tokenを取得するためにclient applicationが使用します。
• access_token: resource ownerに代わってAPIリクエストを行うためにclient applicationが使用するトークン。
• refresh_token: アプリケーションがユーザーに再度プロンプトを表示せずに新しいaccess_tokenを取得することを可能にします。

Flow

実際のOAuthフローは次のように進行します：

1. あなたはhttps://example.comにアクセスし、「ソーシャルメディアと統合」ボタンを選択します。
2. サイトは次にhttps://socialmedia.comにリクエストを送り、https://example.comのアプリケーションがあなたの投稿にアクセスする許可を求めます。リクエストは次のように構成されます：

https://socialmedia.com/auth
?response_type=code
&client_id=example_clientId
&redirect_uri=https%3A%2F%2Fexample.com%2Fcallback
&scope=readPosts
&state=randomString123

3. 次に、同意ページが表示されます。
4. 承認後、Social Mediaはcodeとstateパラメータを含むレスポンスをredirect_uriに送信します。

https://example.com?code=uniqueCode123&state=randomString123

5. https://example.com は、この code を client_id および client_secret と共に使用して、サーバーサイドリクエストを行い、あなたに代わって access_token を取得し、あなたが同意した権限へのアクセスを可能にします:

POST /oauth/access_token
Host: socialmedia.com
...{"client_id": "example_clientId", "client_secret": "example_clientSecret", "code": "uniqueCode123", "grant_type": "authorization_code"}

6. 最後に、https://example.com は access_token を使用して Social Media に API コールを行い、プロセスが完了します。

脆弱性

Open redirect_uri

redirect_uri は OAuth および OpenID 実装においてセキュリティの要であり、認可後に認証コードなどの機密データが送信される場所を指示します。誤って設定されると、攻撃者がこれらのリクエストを悪意のあるサーバーにリダイレクトし、アカウント乗っ取りを可能にする可能性があります。

エクスプロイト手法は、認可サーバーの検証ロジックに基づいて異なります。厳密なパス一致から、指定されたドメインまたはサブディレクトリ内の任意のURLを受け入れるものまで様々です。一般的なエクスプロイト方法には、オープンリダイレクト、パストラバーサル、弱い正規表現の悪用、トークン盗難のためのHTMLインジェクションが含まれます。

redirect_uri 以外にも、client_uri、policy_uri、tos_uri、initiate_login_uri などの他の OAuth および OpenID パラメータもリダイレクト攻撃に対して脆弱です。これらのパラメータはオプションであり、サーバーによってサポートが異なります。

OpenID サーバーをターゲットにする場合、ディスカバリーエンドポイント（**.well-known/openid-configuration**）には、registration_endpoint、request_uri_parameter_supported、require_request_uri_registration などの貴重な構成詳細がリストされていることがよくあります。これらの詳細は、登録エンドポイントやサーバーの他の構成特性を特定するのに役立ちます。

XSS in redirect implementation

このバグバウンティレポート https://blog.dixitaditya.com/2021/11/19/account-takeover-chain.html に記載されているように、ユーザーが認証した後にサーバーのレスポンスにリダイレクト URL が反映される 可能性があり、XSS に対して脆弱 である可能性があります。テストするための可能なペイロード:

https://app.victim.com/login?redirectUrl=https://app.victim.com/dashboard</script><h1>test</h1>

CSRF - Improper handling of state parameter

OAuth実装において、stateパラメータの誤用や省略は、Cross-Site Request Forgery (CSRF)攻撃のリスクを大幅に増加させる可能性があります。この脆弱性は、stateパラメータが使用されない、静的な値として使用される、または適切に検証されない場合に発生し、攻撃者がCSRF保護を回避できるようになります。

攻撃者はこれを利用して認証プロセスを傍受し、自分のアカウントを被害者のアカウントにリンクさせることができ、潜在的なアカウント乗っ取りにつながります。これは、OAuthが認証目的で使用されるアプリケーションにおいて特に重要です。

この脆弱性の実例は、さまざまなCTFチャレンジやハッキングプラットフォームで文書化されており、その実際の影響が強調されています。この問題は、Slack、Stripe、PayPalなどのサードパーティサービスとの統合にも及び、攻撃者が通知や支払いを自分のアカウントにリダイレクトすることができます。

CSRFから保護し、OAuthフローを安全にするためには、stateパラメータの適切な処理と検証が不可欠です。

Pre Account Takeover

1. アカウント作成時のメール確認なし: 攻撃者は被害者のメールを使用して事前にアカウントを作成することができます。被害者が後でサードパーティサービスを使用してログインすると、アプリケーションは誤ってこのサードパーティアカウントを攻撃者の事前作成アカウントにリンクする可能性があり、不正アクセスにつながります。
2. 緩いOAuthメール確認の悪用: 攻撃者は、メールを確認しないOAuthサービスを悪用して、自分のサービスに登録し、その後アカウントのメールを被害者のものに変更することができます。この方法は、異なる攻撃ベクトルを通じて、最初のシナリオと同様に不正なアカウントアクセスのリスクをもたらします。

Disclosure of Secrets

秘密のOAuthパラメータを特定し保護することは重要です。**client_idは安全に公開できますが、client_secretを公開することは重大なリスクを伴います。client_secretが漏洩すると、攻撃者はアプリケーションのアイデンティティと信頼を悪用して、ユーザーのaccess_tokens**やプライベート情報を盗むことができます。

一般的な脆弱性は、アプリケーションが認証codeをaccess_tokenに交換する処理をクライアント側で行う誤りから生じます。この誤りにより、client_secretが露出し、攻撃者がアプリケーションのふりをしてaccess_tokensを生成できるようになります。さらに、ソーシャルエンジニアリングを通じて、攻撃者はOAuth認証に追加のスコープを追加することで特権をエスカレートし、アプリケーションの信頼されたステータスをさらに悪用する可能性があります。

Client Secret Bruteforce

サービスプロバイダーのclient_secretをアイデンティティプロバイダーと共にブルートフォースすることができます。
BFリクエストは次のように見えるかもしれません:

POST /token HTTP/1.1
content-type: application/x-www-form-urlencoded
host: 10.10.10.10:3000
content-length: 135
Connection: close

code=77515&redirect_uri=http%3A%2F%2F10.10.10.10%3A3000%2Fcallback&grant_type=authorization_code&client_id=public_client_id&client_secret=[bruteforce]

Referer Header leaking Code + State

クライアントがcodeとstateを持っている場合、それがRefererヘッダー内に反映されているときに別のページに移動すると脆弱です。

Access Token Stored in Browser History

ブラウザ履歴にアクセスして、アクセストークンが保存されているかどうかを確認します。

Everlasting Authorization Code

認可コードは、攻撃者がそれを盗んで使用できる時間枠を制限するために、一定期間だけ有効であるべきです。

Authorization/Refresh Token not bound to client

認可コードを取得して別のクライアントで使用できる場合、他のアカウントを乗っ取ることができます。

Happy Paths, XSS, Iframes & Post Messages to leak code & state values

この投稿をチェック

AWS Cognito

このバグバウンティレポートでは: https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/ AWS Cognitoがユーザーに返すトークンがユーザーデータを上書きするのに十分な権限を持っている可能性があることがわかります。したがって、ユーザーのメールアドレスを別のメールアドレスに変更できる場合、他のアカウントを乗っ取ることができるかもしれません。

# Read info of the user
aws cognito-idp get-user --region us-east-1 --access-token eyJraWQiOiJPVj[...]

# Change email address
aws cognito-idp update-user-attributes --region us-east-1 --access-token eyJraWQ[...] --user-attributes Name=email,Value=imaginary@flickr.com
{
"CodeDeliveryDetailsList": [
{
"Destination": "i***@f***.com",
"DeliveryMedium": "EMAIL",
"AttributeName": "email"
}
]
}

詳細なAWS Cognitoの悪用方法については、以下を参照してください：

{% embed url="https://cloud.hacktricks.xyz/pentesting-cloud/aws-pentesting/aws-unauthenticated-enum-access/aws-cognito-unauthenticated-enum" %}

他のアプリのトークンの悪用

この書き込みで述べられているように、トークン（コードではなく）を受け取ることを期待するOAuthフローは、トークンがアプリに属しているかどうかを確認しない場合、脆弱である可能性があります。

これは、攻撃者がOAuthをサポートするアプリケーションを作成し、Facebookでログイン（例えば）することができるためです。その後、被害者が攻撃者のアプリケーションでFacebookにログインすると、攻撃者は被害者のユーザーに与えられたOAuthトークンを取得し、そのトークンを使用して被害者のOAuthアプリケーションにログインすることができます。

{% hint style="danger" %} したがって、攻撃者がユーザーに自分のOAuthアプリケーションにアクセスさせることができれば、トークンを期待し、そのトークンが自分のアプリIDに付与されたかどうかを確認しないアプリケーションで被害者のアカウントを乗っ取ることができます。 {% endhint %}

二つのリンクとクッキー

この書き込みによると、被害者にreturnUrlが攻撃者のホストを指すページを開かせることが可能でした。この情報はクッキー（RU）に保存され、後のステップでプロンプトがユーザーにその攻撃者のホストにアクセスを許可するかどうかを尋ねます。

このプロンプトを回避するために、Oauthフローを開始するタブを開き、このRUクッキーをreturnUrlを使用して設定し、プロンプトが表示される前にタブを閉じ、その値なしで新しいタブを開くことが可能でした。すると、プロンプトは攻撃者のホストについて通知しませんが、クッキーはそれに設定されるため、トークンはリダイレクションで攻撃者のホストに送信されます。

プロンプトインタラクションの回避

このビデオで説明されているように、一部のOAuth実装では、prompt GETパラメータをNone（&prompt=none）として指定することで、ユーザーがプラットフォームに既にログインしている場合にプロンプトでアクセスの確認を求められないようにすることができます。

response_mode

このビデオで説明されているように、最終URLでコードを提供する場所を示すために**response_mode**パラメータを指定することが可能です：

• response_mode=query -> コードはGETパラメータ内に提供されます：?code=2397rf3gu93f
• response_mode=fragment -> コードはURLフラグメントパラメータ内に提供されます：#code=2397rf3gu93f
• response_mode=form_post -> コードはcodeという名前の入力と値を持つPOSTフォーム内に提供されます
• response_mode=web_message -> コードはポストメッセージで送信されます：window.opener.postMessage({"code": "asdasdasd...

SSRFsパラメータ

この研究をチェック この技術の詳細について。

OAuthの動的クライアント登録は、**Server-Side Request Forgery (SSRF)**攻撃のための重要なベクターとして機能します。このエンドポイントは、クライアントアプリケーションに関する詳細を受け取るため、悪用される可能性のある機密URLを含むことがあります。

重要なポイント：

• 動的クライアント登録は通常/registerにマッピングされ、client_name、client_secret、redirect_uris、およびロゴやJSON Web Key Sets (JWKs)のURLなどの詳細をPOSTリクエストで受け入れます。
• この機能はRFC7591およびOpenID Connect Registration 1.0の仕様に従っており、SSRFに対して潜在的に脆弱なパラメータを含みます。
• 登録プロセスは、以下の方法でサーバーをSSRFにさらす可能性があります：
• logo_uri：クライアントアプリケーションのロゴのURLで、サーバーがフェッチする可能性があり、SSRFを引き起こすか、URLが誤って処理されるとXSSを引き起こす可能性があります。
• jwks_uri：クライアントのJWKドキュメントへのURLで、悪意のある形で作成された場合、サーバーが攻撃者が制御するサーバーにアウトバウンドリクエストを行う原因となります。
• sector_identifier_uri：redirect_urisのJSON配列を参照し、サーバーがフェッチする可能性があり、SSRFの機会を作り出します。
• request_uris：クライアントの許可されたリクエストURIをリストし、サーバーが認証プロセスの開始時にこれらのURIをフェッチする場合、悪用される可能性があります。

悪用戦略：

• logo_uri、jwks_uri、またはsector_identifier_uriのようなパラメータに悪意のあるURLを含む新しいクライアントを登録することで、SSRFを引き起こすことができます。
• request_urisを介した直接の悪用はホワイトリスト制御によって軽減される可能性がありますが、事前に登録された攻撃者が制御するrequest_uriを提供することで、認証フェーズ中にSSRFを促進することができます。

OAuthプロバイダーのレースコンディション

テストしているプラットフォームがOAuthプロバイダーである場合、これを読んでレースコンディションのテストを行ってください。

参考文献

• https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
• https://portswigger.net/research/hidden-oauth-attack-vectors

{% embed url="https://websec.nl/" %}

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE (HackTricks AWS Red Team Expert)!

HackTricksをサポートする他の方法：

• HackTricksで会社の広告を表示したり、HackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
• 公式PEASS & HackTricksグッズを手に入れましょう
• The PEASS Familyを発見し、私たちの独占的なNFTsコレクションをチェックしてください
• 💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローしてください。
• ハッキングのトリックを共有するには、 HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。