HackTricksToma de Control de Cuenta
tip
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Problema de Autorizaci贸n
Se debe intentar cambiar el correo electr贸nico de una cuenta, y el proceso de confirmaci贸n debe ser examinado. Si se encuentra d茅bil, el correo electr贸nico debe ser cambiado al de la v铆ctima prevista y luego confirmado.
Problema de Normalizaci贸n de Unicode
- La cuenta de la v铆ctima prevista
victim@gmail.com - Se debe crear una cuenta utilizando Unicode
por ejemplo:vi膰tim@gmail.com
Como se explic贸 en esta charla, el ataque anterior tambi茅n podr铆a realizarse abusando de proveedores de identidad de terceros:
- Crear una cuenta en el proveedor de identidad de terceros con un correo electr贸nico similar al de la v铆ctima utilizando alg煤n car谩cter unicode (
vi膰tim@company.com). - El proveedor de terceros no deber铆a verificar el correo electr贸nico.
- Si el proveedor de identidad verifica el correo electr贸nico, tal vez puedas atacar la parte del dominio como:
victim@膰ompany.comy registrar ese dominio y esperar que el proveedor de identidad genere la versi贸n ascii del dominio mientras la plataforma de la v铆ctima normaliza el nombre de dominio. - Iniciar sesi贸n a trav茅s de este proveedor de identidad en la plataforma de la v铆ctima que deber铆a normalizar el car谩cter unicode y permitirte acceder a la cuenta de la v铆ctima.
Para m谩s detalles, consulta el documento sobre Normalizaci贸n de Unicode:
Reutilizaci贸n de Token de Restablecimiento
Si el sistema objetivo permite que el enlace de restablecimiento sea reutilizado, se deben hacer esfuerzos para encontrar m谩s enlaces de restablecimiento utilizando herramientas como gau, wayback o scan.io.
Pre Toma de Control de Cuenta
- Se debe usar el correo electr贸nico de la v铆ctima para registrarse en la plataforma, y se debe establecer una contrase帽a (se debe intentar confirmarla, aunque la falta de acceso a los correos de la v铆ctima podr铆a hacer esto imposible).
- Se debe esperar hasta que la v铆ctima se registre usando OAuth y confirme la cuenta.
- Se espera que el registro regular sea confirmado, permitiendo el acceso a la cuenta de la v铆ctima.
Configuraci贸n Incorrecta de CORS para Toma de Control de Cuenta
Si la p谩gina contiene configuraciones incorrectas de CORS, podr铆as ser capaz de robar informaci贸n sensible del usuario para tomar el control de su cuenta o hacer que cambie la informaci贸n de autenticaci贸n con el mismo prop贸sito:
CORS - Misconfigurations & Bypass
CSRF para Toma de Control de Cuenta
Si la p谩gina es vulnerable a CSRF, podr铆as ser capaz de hacer que el usuario modifique su contrase帽a, correo electr贸nico o autenticaci贸n para que luego puedas acceder a ello:
CSRF (Cross Site Request Forgery)
XSS para Toma de Control de Cuenta
Si encuentras un XSS en la aplicaci贸n, podr铆as ser capaz de robar cookies, almacenamiento local o informaci贸n de la p谩gina web que podr铆a permitirte tomar el control de la cuenta:
Misma Origen + Cookies
Si encuentras un XSS limitado o una toma de control de subdominio, podr铆as jugar con las cookies (fij谩ndolas, por ejemplo) para intentar comprometer la cuenta de la v铆ctima:
Atacando el Mecanismo de Restablecimiento de Contrase帽a
Reset/Forgotten Password Bypass
Manipulaci贸n de Respuesta
Si la respuesta de autenticaci贸n podr铆a ser reducida a un simple booleano, solo intenta cambiar falso a verdadero y ver si obtienes acceso.
OAuth para Toma de Control de Cuenta
Inyecci贸n de Encabezado Host
- El encabezado Host se modifica tras la iniciaci贸n de una solicitud de restablecimiento de contrase帽a.
- El encabezado proxy
X-Forwarded-Forse altera aattacker.com. - Los encabezados Host, Referente y Origen se cambian simult谩neamente a
attacker.com. - Despu茅s de iniciar un restablecimiento de contrase帽a y optar por reenviar el correo, se emplean los tres m茅todos mencionados anteriormente.
Manipulaci贸n de Respuesta
- Manipulaci贸n de C贸digo: El c贸digo de estado se altera a
200 OK. - Manipulaci贸n de C贸digo y Cuerpo:
- El c贸digo de estado se cambia a
200 OK. - El cuerpo de la respuesta se modifica a
{"success":true}o un objeto vac铆o{}.
Estas t茅cnicas de manipulaci贸n son efectivas en escenarios donde se utiliza JSON para la transmisi贸n y recepci贸n de datos.
Cambiar correo electr贸nico de la sesi贸n actual
De este informe:
- El atacante solicita cambiar su correo electr贸nico por uno nuevo.
- El atacante recibe un enlace para confirmar el cambio de correo electr贸nico.
- El atacante env铆a el enlace a la v铆ctima para que lo haga clic.
- El correo electr贸nico de la v铆ctima se cambia al indicado por el atacante.
- El atacante puede recuperar la contrase帽a y tomar el control de la cuenta.
Esto tambi茅n ocurri贸 en este informe.
Cookies Antiguas
Como se explic贸 en esta publicaci贸n, fue posible iniciar sesi贸n en una cuenta, guardar las cookies como un usuario autenticado, cerrar sesi贸n y luego iniciar sesi贸n nuevamente.
Con el nuevo inicio de sesi贸n, aunque se podr铆an generar cookies diferentes, las antiguas comenzaron a funcionar nuevamente.
Referencias
- https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050
- https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea
tip
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.