密码重置中的弱加密技术可导致账户完全接管

admin 2025年2月15日20:54:52评论6 views字数 1352阅读4分30秒阅读模式
本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。
声明:本文搬运自国外互联网,如你是原作者,请联系我们!
标签:加密破译
密码重置中的弱加密技术可导致账户完全接管
图1
大多数应用程序都为用户提供了通过电子邮件“重置密码”的功能。大多数漏洞赏金猎人或安全研究人员一直对此功能感兴趣。从执行速率限制、主机头注入等基本攻击到执行账户接管,此功能非常有趣,值得投入时间。
各位黑客与猎人大家好,在本文中,我将描述我最近发现的一个通过分析密码重置中的加密模式进行帐户接管的现象,并最终发现一个 P1(严重)错误。

我正在研究的应用程序是私有程序的一部分为了演示目的,我们将其称为www.target.com

几周后,我切换回了这个目标,但我忘记了测试账户的密码(我经常这样 :P)。我继续为我的两个测试账户执行忘记密码请求。

这些账户分别是<bugcrowd_alias>[email protected]<bugcrowd_alias>[email protected]

对于那些不知道这个"+"在这里起什么作用的人来说。如果你在电子邮件中附加一个+sometext,它实际上会创建你的电子邮件的别名,你将在实际电子邮件中收到所有电子邮件。这在测试时很有帮助,因为大多数应用程序都不会被阻止,而这一发现完全是由于这一点而得出的。

例子

实际电子邮件:hbothra22@gmail.com

别名:hbothra22[email protected][email protected]

所有别名的电子邮件都将被转发至实际电子邮件。

现在回到应用程序,通常的密码重置流程包括:

申请密码重置→ 接收唯一重置链接→ 重置通行证

现在,当使用重置链接重置密码时,我发现这两个重置链接之间的唯一区别是:1 和 2

账户1的重置链接:https://target.com/reset_password?token= zbp.nwavaqjbeptho%401+neugboufenu

账户2的重置链接:https://target.com/reset_password?token=zbp.nwavaqjbeptho% 402+neugboufenu

我观察到的第二件事是重置令牌的长度 = 电子邮件中的字符数和 %40=@

太棒了。所以这可以肯定应用程序的加密机制很弱,但应用程序如何编码令牌仍未可知。又花了几分钟,我推导出了生成令牌的公式。

Ceaser_Cipher_Key13(reverse(email)) == 密码重置令牌

  1. 以受害者的电子邮件为例:[email protected]
  2. 反向邮箱,即:moc.liamg@22arhtobh
  3. 现在使用 Ceaser Cipher(凯撒密码) 加密反向电子邮件,密钥为 13,即:zbp.yvnzt@22neugbou
  4. 至少将@改为%40这样我们就会得到重置令牌。
最终示例代币 = zbp.yvnzt%4022neugbou

现在,我们可以用这个来重置任何用户的密码。该应用程序还允许在忘记密码时枚举有效的电子邮件,这使我们的任务更容易。

总结
  1. 在测试密码时,始终使用两个别名并尝试查看重置令牌中哪些位不同。
  2. 检查重置令牌并尝试查看是否使用了任何公共编码库/弱加密。
OVO~

原文始发于微信公众号(Rsec):0027. 密码重置中的弱加密技术可导致账户完全接管

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月15日20:54:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   密码重置中的弱加密技术可导致账户完全接管http://cn-sec.com/archives/3745360.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息