通过单端点条件竞争重置邮箱用户密码

admin 2024年8月22日09:04:53评论15 views字数 1402阅读4分40秒阅读模式

本文由掌控安全学院 - 杳若 投稿

前言

Burp上线新的靶场啦~但是外国人都好卷,白天没时间玩,目前第十三名

通过单端点条件竞争重置邮箱用户密码

?单端点竞争-通过邮箱重置密码


  1. Lab: Single-endpoint race conditions

?实验前置必要知识点

将具有不同值的并行请求发送到单个端点点有时会触发强大的条件竞争

考虑一种密码重置机制,该机制将用户 ID 和重置令牌存储在用户的会话中。

在这种情况下,从同一会话发送两个并行密码重置请求,但使用两个不同的用户名,可能会导致以下冲突:

通过单端点条件竞争重置邮箱用户密码

请注意所有操作完成后的最终状态:

  • session['reset-user'] = victim
  • session['reset-token'] = 1234

电子邮件地址确认或任何基于电子邮件的操作通常是单端点的良好目标。在服务器向客户端发出 HTTP 响应后,电子邮件通常在后台线程中发送,这使得竞争情况更有可能发生。

?实验要求

此实验室的电子邮件更改功能包含一个争用条件,使你能够将任意电子邮件地址与帐户关联。

拥有carlos@ginandjuice.shop地址的用户已收到成为站点管理员的待处理邀请,但他们尚未创建帐户。因此,任何成功声明此地址的用户都将自动继承管理员权限。

要解决实验室问题,请执行以下操作:

  1. 确定允许您声明任意电子邮件地址的争用条件。
  2. 将您的电子邮件地址更改为carlos@ginandjuice.shop
  3. 访问管理面板。
  4. 删除carlos用户

您可以使用以下凭据登录到自己的帐户:wiener:peter

您还可以访问电子邮件客户端,您可以在@exploit-<YOUR-EXPLOIT-SERVER-ID>.exploit-server.net中查看发送到地址的所有电子邮件。

⚡️渗透开始

  • 访问对应靶场界面

  1. https://portswigger.net/web-security/race-conditions/lab-race-conditions-single-endpoint
  • 启动靶场
    1. 站点分析

这是’SHOP‘类型的网站,具有登录功能

通过单端点条件竞争重置邮箱用户密码

根据实验要求需要首先登录,尝试将自己的邮箱修改成管理员邮箱

发现如果要更改邮箱还要去本邮箱进行确认

通过单端点条件竞争重置邮箱用户密码

尝试修改[email protected]

成功在自己的邮箱中发现了修改链接

通过单端点条件竞争重置邮箱用户密码

2. 寻找可疑功能点(查看Burp历史记录进行分析)

从总体来看,更改邮箱 → 发送信息验证 → 更改邮箱

通过单端点条件竞争重置邮箱用户密码

3. 预测潜在碰撞

用过一次的邮箱再次点击可以发现已经失效了,推测这里可能存在碰撞

通过单端点条件竞争重置邮箱用户密码

4.行为进行基准测试

尝试利用发送更改邮箱端点进行多邮箱发送,利用顺序结构发送了5份邮件

通过单端点条件竞争重置邮箱用户密码

对应存在5份邮箱

通过单端点条件竞争重置邮箱用户密码

使用链接时发现,只有最后一份EEE的邮箱才是有效的

通过单端点条件竞争重置邮箱用户密码

接下来尝试用枚举的方式并行发送,发现邮箱并不是按照规律发送

收件人地址并不总是与挂起的新电子邮件地址匹配

通过单端点条件竞争重置邮箱用户密码

考虑到网站发送邮箱处可能存在一个条件竞争的可能性

推断,当邮箱处理正常发送时,使用了并行条件竞争,会导致确认电子邮件发送到错误的地址

5.证明概念

通过条件竞争,成功收到了来自其他邮箱的重置信息

通过单端点条件竞争重置邮箱用户密码

点击之后成功修改了邮件

通过单端点条件竞争重置邮箱用户密码

通过单端点条件竞争重置邮箱用户密码

删除用户完成实验

通过单端点条件竞争重置邮箱用户密码

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

原文始发于微信公众号(掌控安全EDU):通过单端点条件竞争重置邮箱用户密码

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月22日09:04:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过单端点条件竞争重置邮箱用户密码http://cn-sec.com/archives/1993773.html

发表评论

匿名网友 填写信息