Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 14:08:26 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/account-takeover.md

8.8 KiB
Raw Blame History

Toma de Control de Cuenta

Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Problema de Autorización

Se debe intentar cambiar el correo electrónico de una cuenta, y el proceso de confirmación debe ser examinado. Si se encuentra que es débil, el correo electrónico debe cambiarse al de la víctima prevista y luego confirmarse.

Problema de Normalización Unicode

  1. La cuenta de la víctima prevista victim@gmail.com
  2. Se debe crear una cuenta utilizando Unicode
    por ejemplo: vićtim@gmail.com

Como se explica en esta charla, el ataque anterior también se podría realizar abusando de proveedores de identidad de terceros:

  • Crear una cuenta en el proveedor de identidad de terceros con un correo electrónico similar al de la víctima utilizando algún carácter Unicode (vićtim@company.com).
  • El proveedor de terceros no debería verificar el correo electrónico
  • Si el proveedor de identidad verifica el correo electrónico, tal vez puedas atacar la parte del dominio como: victim@ćompany.com y registrar ese dominio y esperar a que el proveedor de identidad genere la versión ASCII del nombre de dominio mientras que la plataforma de la víctima normaliza el nombre de dominio.
  • Iniciar sesión a través de este proveedor de identidad en la plataforma de la víctima que debería normalizar el carácter Unicode y permitirte acceder a la cuenta de la víctima.

Para más detalles, consulta el documento sobre Normalización Unicode:

{% content-ref url="unicode-injection/unicode-normalization.md" %} unicode-normalization.md {% endcontent-ref %}

Reutilización de Token de Restablecimiento

Si el sistema objetivo permite que el enlace de restablecimiento se reutilice, se deben realizar esfuerzos para encontrar más enlaces de restablecimiento utilizando herramientas como gau, wayback, o scan.io.

Pre Toma de Control de Cuenta

  1. Se debe utilizar el correo electrónico de la víctima para registrarse en la plataforma y establecer una contraseña (se debe intentar confirmarla, aunque la falta de acceso a los correos electrónicos de la víctima podría hacer que esto sea imposible).
  2. Se debe esperar a que la víctima se registre utilizando OAuth y confirme la cuenta.
  3. Se espera que el registro regular se confirme, lo que permitirá el acceso a la cuenta de la víctima.

Configuración Incorrecta de CORS para Toma de Control de Cuenta

Si la página contiene configuraciones incorrectas de CORS es posible que puedas robar información sensible del usuario para tomar el control de su cuenta o hacer que cambie la información de autenticación con el mismo propósito:

{% content-ref url="cors-bypass.md" %} cors-bypass.md {% endcontent-ref %}

CSRF para Toma de Control de Cuenta

Si la página es vulnerable a CSRF es posible que puedas hacer que el usuario modifique su contraseña, correo electrónico o autenticación para luego acceder a ella:

{% content-ref url="csrf-cross-site-request-forgery.md" %} csrf-cross-site-request-forgery.md {% endcontent-ref %}

XSS para Toma de Control de Cuenta

Si encuentras un XSS en la aplicación es posible que puedas robar cookies, almacenamiento local, o información de la página web que podría permitirte tomar el control de la cuenta:

{% content-ref url="xss-cross-site-scripting/" %} xss-cross-site-scripting {% endcontent-ref %}

Mismo Origen + Cookies

Si encuentras un XSS limitado o tomas el control de un subdominio, podrías jugar con las cookies (fijarlas, por ejemplo) para intentar comprometer la cuenta de la víctima:

{% content-ref url="hacking-with-cookies/" %} hacking-with-cookies {% endcontent-ref %}

Atacando el Mecanismo de Restablecimiento de Contraseña

{% content-ref url="reset-password.md" %} reset-password.md {% endcontent-ref %}

Manipulación de Respuesta

Si la respuesta de autenticación se puede reducir a un simple booleano, intenta cambiar false por true y verifica si obtienes acceso.

OAuth para Toma de Control de Cuenta

{% content-ref url="oauth-to-account-takeover.md" %} oauth-to-account-takeover.md {% endcontent-ref %}

Inyección de Cabecera de Host

  1. La cabecera Host se modifica siguiendo una solicitud de restablecimiento de contraseña.
  2. La cabecera de proxy X-Forwarded-For se altera a attacker.com.
  3. Las cabeceras Host, Referrer y Origin se cambian simultáneamente a attacker.com.
  4. Después de iniciar un restablecimiento de contraseña y luego optar por reenviar el correo electrónico, se emplean los tres métodos mencionados anteriormente.

Manipulación de Respuesta

  1. Manipulación de Código: El código de estado se cambia a 200 OK.
  2. Manipulación de Código y Cuerpo:
  • El código de estado se cambia a 200 OK.
  • El cuerpo de la respuesta se modifica a {"success":true} o a un objeto vacío {}.

Estas técnicas de manipulación son efectivas en escenarios donde se utiliza JSON para la transmisión y recepción de datos.

Cambiar correo electrónico de sesión actual

Según este informe:

  • El atacante solicita cambiar su correo electrónico por uno nuevo.
  • El atacante recibe un enlace para confirmar el cambio de correo electrónico.
  • El atacante envía el enlace a la víctima para que haga clic en él.
  • El correo electrónico de la víctima se cambia al indicado por el atacante.
  • El atacante puede recuperar la contraseña y tomar el control de la cuenta.

Esto también ocurrió en este informe.

Cookies Antiguas

Como se explica en este post, fue posible iniciar sesión en una cuenta, guardar las cookies como usuario autenticado, cerrar sesión y luego iniciar sesión nuevamente.
Con el nuevo inicio de sesión, aunque se generen cookies diferentes, las antiguas volvieron a funcionar.

Referencias

Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: