一种有趣的帐户接管手段

iso60001  195天前

22.png

大家好,我是Vishal Bharad,是一名机械工程师,同时也是渗透测试员,在这篇文章中我将分享一次有趣的接管他人帐户的过程。

关于漏洞

关于获取他人帐户的控制权,我曾在网上学习了不少前辈的经验和技巧,而在花费了6到8个小时后,我在目标站redacted.com的忘记密码页面中找到了一些可利用的痕迹,并最终找到了一个可接管他人帐户的漏洞。

工具

  1. BurpSuite
  2. Ngrok服务器

重现

1.我在https://redacted.com/users/forgot_password页面输入用户名,然后获取和重置密码有关的请求信息。

2.用Burpsuite拦截相关请求,并往其中添加请求头X-Forwarded-Host: bing.com

33.png

3.很快你就能收到找回密码的电子邮件,其中含有重置密码链接:https://bing.com/users/reset_password/tqo4Xciu806oiR1FjX8RtIUc1DTcm1B5Kqb53j1fLEkzMW2GPgCpuEODDStpRaES

44.jpg

是的,可以看到重设密码的链接居然在域名bing.com 后。现在我们用https://redacted.com替换https://bing.com,然后在浏览器中打开。

4.很好,这个重置密码链接有效,可以重置密码。

展开攻击

1.我先通过ngork创建属于我的服务器,也就是攻击者服务器。

2.转到https://redacted.com/users/forgot_password页面,输入目标的用户名,并用Burpsuite捕捉请求。

3.在捕获的请求中,攻击者添加请求头X-Forwarded-Host: xxxxxx.ngrok.io,其中ngrok.io等于ngork服务器地址。

55.png

4.此刻,受害者得到密码重置URL中的域是ngrok服务器地址

5.只要受害者点击该链接,攻击者就可以直接看到完整的重置密码的令牌。

66.png

6.当攻击者可以获得密码重置令牌时,他就可以直接接管目标帐户!

时间流

1.我在8月1日向他们报到了漏洞

2.厂商确认了报告、复制步骤和PoC(屏幕截图、视频)

3.他们给了我3位数的奖金(700-1000美元)

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@vbharad/account-takeover-through-password-reset-poisoning-72989a8bb8ea

最新评论

菜鸟  :  what,重点不应该是邮件怎么拿到的吗?
195天前 回复
菜鸟  :  是不是它的邮件发送的邮件**是根据xfh来决定的
195天前 回复
undefined  :  回复 @ 菜鸟  :                        邮件还是发到用户自己的邮箱,但是链接变了,当用户点击链接的时候,攻击者就获取到重置链接了
195天前 回复
昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全

nosec.org All Rights Reserved 京ICP备15042518号