bugbounty技巧-有趣的账户接管

admin 2024年11月27日23:09:06评论9 views字数 1051阅读3分30秒阅读模式

bugbounty技巧-有趣的账户接管

返回包令牌直接泄露导致的账号接管

    在重置密码处,POST /password-reset 端点的响应中发现了一个token。

用一封电子邮件向 /password-reset 端点发出了新请求,并将响应中的令牌作为链接发送到我的电子邮件的token进行了比较,发现token是相同的。

bugbounty技巧-有趣的账户接管

bugbounty技巧-有趣的账户接管

    令牌是相同的,这就说明在返回包中token就被泄露了,那我我们就可以找存在的用户,进行密码重置请求,将令牌添加到密码重置链接,就可以做到账户接管。

经过一些搜索后,找到了管理员的电子邮件,并尝试使用管理员的帐户,获得了token,拼接即可利用。

bugbounty技巧-有趣的账户接管

    在密码重置链接中替换了管理员的令牌,设置了新密码,并尝试使用新凭据登录,登录到了管理员帐户。

bugbounty技巧-有趣的账户接管

由于optpassword加密薄弱导致帐户接管

    在登录页面上,有一个功能“OTP 登录”。其中 OTP 被发送到注册的手机号码。

bugbounty技巧-有趣的账户接管

    为了检查 OTP 是否在响应主体中泄漏,在 burp 中拦截了“OTP 登录”请求。OTP 已在名为“otpPassword”的响应正文中泄露,但 OTP 是加密格式,即Bcrypt

bugbounty技巧-有趣的账户接管

    解密了 OTP 值并成功接管了受害者的帐户。

步骤:

  1. “otp密码”:“$2a$10$hs/tvUkd4GveEdx/hACRDehWza38Z1ncMAEFeOtG77/l.Ja0ktuQa”

2.复制Bcrypt加密值进行解密。

bugbounty技巧-有趣的账户接管

3. 登录密码为“12345”。

4. 接管成功。

开放重定向如何导致帐户接管

    发现请求包中有“number”和“domain”两个参数。

将请求中的“domain”参数值更改为:“ https://bing.com

 ”,请求和响应如下所示:

bugbounty技巧-有趣的账户接管

    邮箱收到来自 Target.com 官方帐户的消息。受害者点击链接并重定向到攻击者域,发现收到的邮件中带有bing.com地址,尝试是否可以利用host头攻击去做到账户接管。

bugbounty技巧-有趣的账户接管

将“domain”的值更改为 Ngrok URL 并收到带有重置链接的消息。

bugbounty技巧-有趣的账户接管

同时在 Ngrok 仪表盘中收到一个请求,其中携带密码重置令牌。

bugbounty技巧-有趣的账户接管

 用这个令牌就可以重置账号密码做到接管。

使


bugbountyorredteam

bugbounty技巧-有趣的账户接管
bugbounty技巧-有趣的账户接管
:James_Rodriguez10101

原文始发于微信公众号(虫洞小窝):bugbounty技巧-有趣的账户接管

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月27日23:09:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   bugbounty技巧-有趣的账户接管https://cn-sec.com/archives/1717560.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息