返回包令牌直接泄露导致的账号接管
在重置密码处,POST /password-reset 端点的响应中发现了一个token。
用一封电子邮件向 /password-reset 端点发出了新请求,并将响应中的令牌作为链接发送到我的电子邮件的token进行了比较,发现token是相同的。
令牌是相同的,这就说明在返回包中token就被泄露了,那我我们就可以找存在的用户,进行密码重置请求,将令牌添加到密码重置链接,就可以做到账户接管。
经过一些搜索后,找到了管理员的电子邮件,并尝试使用管理员的帐户,获得了token,拼接即可利用。
在密码重置链接中替换了管理员的令牌,设置了新密码,并尝试使用新凭据登录,登录到了管理员帐户。
由于optpassword加密薄弱导致帐户接管
在登录页面上,有一个功能“OTP 登录”。其中 OTP 被发送到注册的手机号码。
为了检查 OTP 是否在响应主体中泄漏,在 burp 中拦截了“OTP 登录”请求。OTP 已在名为“otpPassword”的响应正文中泄露,但 OTP 是加密格式,即Bcrypt。
解密了 OTP 值并成功接管了受害者的帐户。
步骤:
-
“otp密码”:“$2a$10$hs/tvUkd4GveEdx/hACRDehWza38Z1ncMAEFeOtG77/l.Ja0ktuQa”
2.复制Bcrypt加密值进行解密。
3. 登录密码为“12345”。
4. 接管成功。
开放重定向如何导致帐户接管
发现请求包中有“number”和“domain”两个参数。
将请求中的“domain”参数值更改为:“ https://bing.com
”,请求和响应如下所示:
邮箱收到来自 Target.com 官方帐户的消息。受害者点击链接并重定向到攻击者域,发现收到的邮件中带有bing.com地址,尝试是否可以利用host头攻击去做到账户接管。
将“domain”的值更改为 Ngrok URL 并收到带有重置链接的消息。
同时在 Ngrok 仪表盘中收到一个请求,其中携带密码重置令牌。
用这个令牌就可以重置账号密码做到接管。
免责声明:
「由于传播、利用本公众号虫洞小窝所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!」
虫洞小窝
bugbountyorredteam
原文始发于微信公众号(虫洞小窝):bugbounty技巧-有趣的账户接管
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论