通过重置密码token泄露收获万元赏金
2024-4-7 21:38:17 Author: mp.weixin.qq.com(查看原文) 阅读量:27 收藏

不想错过任何消息?设置星标↓ ↓ ↓

什么是ATO?

ATO全称Account TakeOver,中文一般翻译为“帐户劫持或帐户接管”,ATO一般有多种方式可以实现,比如:

  • 当攻击者使用以往数据泄露中获取到的用户名、密码尝试未经授权访问其它用户帐户

  • 攻击者从用户处获取会话(Session)token(如Sesstion ID、JWT等),使用token而无需用户名、密码从而冒充用户

  • 利用XSS漏洞获取用户Cookie或登录凭证后,进行帐户接管

  • 通过跨站点请求伪造(CSRF)攻击诱骗经过身份验证的用户在不知情的情况下执行恶意操作

  • 利用弱密码策略、不安全的密码存储、可预测的会话token或者用户恢复机制的业务逻辑错误

今天来分享一位Jedus0r_白帽小哥的故事,话说某天,主角白帽小哥在对一个公共项目进行‘狩猎’时,发现了一个很有趣的应用程序,该程序具有很多功能。小哥的做法通常是注册一个帐户,然后更深入的寻找漏洞,今天他却反其道而行,打算先测试一下所有未经身份验证的功能,一是打算真正了解这个应用程序的工作流程,从而推断出他应该更加关注哪种类型的漏洞。

很快小哥便发现了由于没有验证码和速率限制,可以通过字典爆破到用户密码,从而导致帐户被接管,但该漏洞被归类为P4级。

于是小哥继续测试密码重置功能,小哥打算检查用户的‘姓氏“、”名字“是否会反映在电子邮件中,这样便可以尝试HTML注入攻击,然而结果是令人失望的。于是小哥开始查看Burp Suite中的请求与响应信息。

PUT /api/v1/people/forgot_password

小哥注意到在上面的请求中,响应包中显示了他的重置密码Token、个人信息以及密码hash:

接着小哥使用浏览器打开“无痕”浏览模式,然后再次尝试重置密码,令人惊讶的是,收到了同样的响应信息:

{

“activation_code”:”3ce8aeb4461ae0e45eb73a4649babc6529d096da”,

”reset_password_code”:”fb39dfe8cb9200305b34a693c7867fb8",

”id”:4592665,

”first_name”:”\u003cu\u003ehello\u003c/u\u003e”,

”last_name”:”\u003cu\u003ehello\u003c/u\u003e”,

”account”:true,”email”:[email protected],

”crypted_password”:{“raw_pw”:”$2a$REDACTED”

}

COPY

此时小哥脑海里开始自问:

  • 我是否能够将其升级为帐户接管?

  • 我是否可以解密密码hash?

  • 响应包中的密码重置token是否有效?

由于目前这个漏洞可以枚举所有用户的PII信息,所以该漏洞会被定义为P1级,但是如果可以使用用户的密码hash或者重置密码token,那么就可以作为帐户接管来提高漏洞的影响力。

经过查看电子邮件收到的重置密码链接,小哥确认了响应包中的重置密码token与邮件中的一致,由此可以得出结论,响应包中的重置密码token是有效的!

  1. 攻击者向 API 端点“/api/v1/people/forgot_password”发送请求,请求重置受害者帐户的密码

PUT /api/v1/people/forgot_password HTTP/2
Host: REDACTED.COM

{“email”:”[email protected]”}

  1. 攻击者将重置密码token和受害者 ID(从第 1 步的响应中提取)粘贴到以下 URL 中:

https://www.redacted.com/reset_password?code="REPLACE_WITH_RESET_PASSWORD_CODE"&id=REPLACE_WITH_ID_PARAMETER
  1. 攻击者在他的浏览器中打开链接,并重置受害者的密码

  2. 攻击者无需受害者采取任何操作即可访问受害者帐户(实现帐户接管)

小哥第一时间将漏洞上报,厂商的IT团队在几小时内便迅速的做出了处理,并进行了修复,修复成功的数小时后,小哥也顺利的收获了2500欧元的赏金奖励。

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247494055&idx=1&sn=5e95217e972e0d722256931396a61d6b&chksm=e8a5e3c4dfd26ad261734c41725cc754f5d2f38b468ce24ac64895cd86a8ee6ad25359e4d15d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh