2FA/MFA/OTP Bypass

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Enhanced Two-Factor Authentication Bypass Techniques

Direct Endpoint Access

Para bypass de 2FA, accede directamente al endpoint siguiente; conocer la ruta es crucial. Si no tiene éxito, altera el Referrer header para simular la navegación desde la página de verificación de 2FA.

Token Reuse

Reutilizar tokens previamente usados para autenticación dentro de una cuenta puede ser efectivo.

Utilization of Unused Tokens

Se puede intentar extraer un token de la propia cuenta para bypass de 2FA en otra cuenta.

Exposure of Token

Investiga si el token se revela en una respuesta de la aplicación web.

Usar el enlace de verificación por email enviado al crear la cuenta puede permitir acceso al perfil sin 2FA, como se detalla en un post.

Session Manipulation

Iniciar sesiones tanto para la cuenta del atacante como para la cuenta de la víctima, y completar la 2FA en la cuenta del atacante sin continuar, permite intentar acceder al siguiente paso del flujo de la cuenta de la víctima, explotando limitaciones en la gestión de sesiones del backend.

Password Reset Mechanism

Es crucial investigar la función de restablecimiento de contraseña —que inicia sesión al usuario en la aplicación tras el reset— por su potencial de permitir múltiples restablecimientos con el mismo enlace. Iniciar sesión con las credenciales recién restablecidas podría bypass de 2FA.

OAuth Platform Compromise

Comprometer la cuenta de un usuario en una plataforma confiable OAuth (p. ej., Google, Facebook) puede ofrecer una vía para bypass de 2FA.

Brute Force Attacks

Rate Limit Absence

La ausencia de un límite en el número de intentos de código permite ataques de brute force, aunque hay que considerar la posible rate limiting silenciosa.

Ten en cuenta que incluso si hay rate limiting, debes intentar comprobar si la respuesta es diferente cuando se envía el OTP válido. En this post, el bug hunter descubrió que aunque el rate limit se activa tras 20 intentos fallidos respondiendo con 401, si se enviaba el válido se recibía un 200.

Slow Brute Force

Un ataque de slow brute force es viable donde existen flow rate limits sin un rate limit general.

Code Resend Limit Reset

Reenviar el código reinicia el rate limit, facilitando intentos continuados de brute force.

Client-Side Rate Limit Circumvention

Un documento detalla técnicas para bypass del rate limiting en el cliente.

Internal Actions Lack Rate Limit

Los rate limits pueden proteger intentos de login pero no acciones internas de la cuenta.

SMS Code Resend Costs

El reenvío excesivo de códigos por SMS genera costes para la empresa, aunque no bypassa la 2FA.

Infinite OTP Regeneration

La regeneración infinita de OTP con códigos simples permite brute force reintentando un pequeño conjunto de códigos.

Race Condition Exploitation

La explotación de race conditions para bypass de 2FA se puede encontrar en un documento específico.

CSRF/Clickjacking Vulnerabilities

Explorar vulnerabilidades CSRF o Clickjacking para deshabilitar la 2FA es una estrategia viable.

“Remember Me” Feature Exploits

Adivinar el valor de la cookie “remember me” puede bypassar restricciones.

IP Address Impersonation

Suplantar la IP de la víctima mediante el header X-Forwarded-For puede bypassar restricciones.

Utilizing Older Versions

Subdomains

Probar subdominios puede encontrar versiones obsoletas sin soporte 2FA o con implementaciones de 2FA vulnerables.

API Endpoints

Versiones antiguas de API, indicadas por rutas /v*/ en directorios, pueden ser vulnerables a métodos de bypass de 2FA.

Handling of Previous Sessions

Terminar las sesiones existentes cuando se activa 2FA asegura las cuentas contra accesos no autorizados desde sesiones comprometidas.

Access Control Flaws with Backup Codes

La generación inmediata y la posible obtención no autorizada de backup codes tras la activación de 2FA, especialmente con configuraciones CORS erróneas o vulnerabilidades XSS, representa un riesgo.

Information Disclosure on 2FA Page

La divulgación de información sensible (p. ej., número de teléfono) en la página de verificación de 2FA es preocupante.

Password Reset Disabling 2FA

Un proceso que demuestra un posible método de bypass implica la creación de la cuenta, activación de 2FA, restablecimiento de contraseña y posterior login sin el requisito de 2FA.

Decoy Requests

Utilizar decoy requests para ofuscar intentos de brute force o engañar mecanismos de rate limiting añade otra capa a las estrategias de bypass. Crear tales requests requiere una comprensión matizada de las medidas de seguridad de la aplicación y de los comportamientos de rate limiting.

OTP Construction errors

Si el OTP se crea en base a datos que el usuario ya tiene o que se envían previamente para crear el OTP, es posible que el propio usuario lo genere y haga bypass.

Referencias

P

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks