2FA/MFA/OTP Bypass

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Покращені методи обходу 2FA

Direct Endpoint Access

Щоб обійти 2FA, отримайте прямий доступ до наступного endpoint’у — знання шляху є критичним. Якщо не вдається, змініть Referrer header, щоб імітувати перехід зі сторінки верифікації 2FA.

Token Reuse

Повторне використання раніше використаних токенів для аутентифікації в акаунті може бути ефективним.

Utilization of Unused Tokens

Можна спробувати витягнути токен зі свого акаунта, щоб обійти 2FA в іншому акаунті.

Exposure of Token

Перевірте, чи не розкриває веб-додаток токен у відповіді.

Використання email verification link, що надсилається під час створення акаунта, може дозволити доступ до профілю без 2FA, як показано в детальному post.

Session Manipulation

Ініціювання сесій як для вашого, так і для жертви акаунта і проходження 2FA для свого акаунта без завершення дозволяє спробувати доступ до наступного кроку в потоці жертви, експлуатуючи обмеження бекенд-менеджменту сесій.

Password Reset Mechanism

Досліджуйте механізм скидання пароля, який після reset логінить користувача в додаток, і чи можна багаторазово використовувати те саме посилання. Логін з новими обліковими даними після reset може обійти 2FA.

OAuth Platform Compromise

Компрометація акаунта користувача на довіреній платформі OAuth (наприклад, Google, Facebook) може надати шлях для обходу 2FA.

Brute Force Attacks

Rate Limit Absence

Відсутність ліміта на кількість спроб введення коду дозволяє проводити brute force атаки, хоча варто враховувати можливі приховані обмеження швидкості.

Зверніть увагу, що навіть якщо є rate limit, слід перевірити, чи відрізняється відповідь при відправленні валідного OTP. У this post дослідник виявив, що навіть якщо після 20 невдалих спроб спрацьовує rate limit і повертається 401, при відправці валідного коду повертається 200.

Slow Brute Force

Повільна brute force атака є життєздатною, коли існують обмеження швидкості на потік, але немає глобального ліміту.

Code Resend Limit Reset

Повторна відправка коду скидає rate limit, що спрощує подальші brute force спроби.

Client-Side Rate Limit Circumvention

Існують методики для обходу client-side rate limiting.

Internal Actions Lack Rate Limit

Rate limits можуть захищати спроби логіну, але не внутрішні дії в акаунті.

SMS Code Resend Costs

Надмірна повторна відправка SMS коду обходиться компанії грошима, хоча це не обходить 2FA.

Infinite OTP Regeneration

Безкіневе генерування OTP з простими кодами дозволяє brute force шляхом повторних спроб невеликого набору кодів.

Race Condition Exploitation

Експлуатація race condition для обходу 2FA описана в окремому документі.

CSRF/Clickjacking Vulnerabilities

Дослідження CSRF або Clickjacking вразливостей для відключення 2FA — життєздатна стратегія.

“Remember Me” Feature Exploits

Вгадування значення cookie “remember me” може обійти обмеження.

IP Address Impersonation

Імітація IP жертви через заголовок X-Forwarded-For може обійти обмеження.

Utilizing Older Versions

Subdomains

Тестування субдоменів може виявити застарілі версії без підтримки 2FA або вразливі реалізації 2FA.

API Endpoints

Старі версії API, позначені шляхами типу /v*/, можуть бути вразливі до методів обходу 2FA.

Handling of Previous Sessions

Завершення існуючих сесій при активації 2FA захищає акаунти від несанкціонованого доступу з скомпрометованих сесій.

Access Control Flaws with Backup Codes

Негайне генерування та потенційне несанкціоноване отримання backup codes під час активації 2FA, особливо за наявності CORS misconfigurations/XSS, становить ризик.

Information Disclosure on 2FA Page

Розкриття чутливої інформації (наприклад, номера телефону) на сторінці верифікації 2FA є проблемою.

Password Reset Disabling 2FA

Процес, що демонструє потенційний метод обходу: створення акаунта, активація 2FA, скидання пароля та подальший вхід без вимоги 2FA.

Decoy Requests

Використання decoy requests для маскування brute force спроб або введення в оману механізмів rate limiting додає ще один шар до стратегій обходу. Створення таких запитів вимагає тонкого розуміння заходів безпеки додатка та поведінки rate limiting.

OTP Construction errors

Якщо OTP створюється на основі даних, які вже має користувач або що відправляються перед створенням OTP, користувач також може згенерувати його і обійти верифікацію.

References

P

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks