account takeover系列-由密码重置所导致的账户劫持

• 背景

• 相关细节

• 小结

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景

白帽小哥喜欢测试重置密码功能, 本文确是在注册的时候发现了一些猫腻;

相关细节

用手机号码注册;当我提交我的电子邮件地址时，显示给我一个弹出框,上面说“点击发送你的电子邮件的链接来确认”

链接如下:

Site.com/YXJlIHlvdSBraWRkaW5nIG1l8J+kqA==/d2hhdCBleGFjdGx5IHlvdSB3YW50Pz8/b2ggbWFuIGFyZSB5b3Uga2lkZGluZyBtZT8=

这是base64加密过的:

YXJlIHlvdSBraWRkaW5nIG1l8J+kqA==/--->这一部分可能是令牌;

d2hhdCBleGFjdGx5IHlvdSB3YW50Pz8/ --->这一部分是邮箱(可以通过在线解密工具来验证)

b2ggbWFuIGFyZSB5b3Uga2lkZGluZyBtZT8=--->这是数字 令牌+电子邮件地址+数字--->数字(number)是用来检测账户的，

在JWT令牌中，也有一个参数(“Sub”:123)具有相同的数字。以受害者的角色创建了一个新账户，我注意到“sub”的数量一个接一个地增长，甚至创建了一个新账户。

逐步接管: 

1.创建攻击者帐号(“sub”:123)和受害者帐号(“sub”:124)

2.在攻击者帐户中提交你的电子邮件地址以收到确认链接

3.将link(Sub)的最后一部分替换为受害者Sub的base64编码

4.在浏览器中打开替换后的有问题的链接

5.返回网站,使用在第二步的电子邮件用于重置密码

6.将收到更改密码的链接。

7.修改密码后，你将重定向到受害者帐户

小结

主要通过注册+密码重置实现账户劫持