实战 | 记一次2000美金赏金的密码重置账户接管
2023-2-3 09:18:28 Author: HACK学习呀(查看原文) 阅读量:13 收藏

大家好,我是Omar Hamdy (Seaman),今天我将介绍我在Bugcrowd的私人邀请漏洞挖掘中发现的最cool的漏洞之一

我有一个私人邀请漏洞挖掘的目标,我们称它为redacted.com,经过一段时间的信息收集,我开始检查密码重置功能,通常我会寻找像(ATO,Host Header 注入)这样的漏洞

简单地说,当用户想要重设密码时,他输入他的名字和姓氏以及电子邮件。密码重置链接将发送到他的电子邮箱。

我请求为我的帐户重设密码,然后拦截请求(通过Zap 代理)以仔细检查它。

我发现请求是这样的:

密码重置链接是:

https://redacted.com/Reset?token=04294876770750

到目前为止没有什么令人兴奋的,我使用了链接,更改了密码并拦截了请求,在这里我发现了一些非常有趣的东西。

我发现请求是这样的:

如果您查看此请求,您会发现用于重置密码的令牌,它与用户请求重置密码时发送的现有令牌相同

从这里我可以通过更改受害者的密码来接管我想要的任何帐户

1- 请求重置受害者帐户的密码并使用 Burpsuite 阻止该请求。

2- 您将找到用于重置受害者密码的令牌。

3- 请求为您的帐户重置密码,然后使用密码重置链接,更改您的密码并通过 Burpsuite 拦截请求。

4- 您会发现这样的请求:

5- 用受害者的令牌替换您的令牌,受害者的密码将成功更改。

当我向公司报告漏洞时,他们将风险从 P2 降低到 P3,因为我需要知道受害者的名字和姓氏,但后来通过进一步研究我发现我只需要知道受害者的电子邮件,如果我输入错误的名字和姓氏,我仍然能够获得受害者的令牌。

最终,我获得了2000美金的漏洞赏金。

推荐阅读:

实战 | 记一次SSRF攻击内网的实战案例

实战 | 记两次应急响应小记

干货 | Wordpress网站渗透方法指南

实战 | 记一次CTF题引发的0day挖掘

2023年零基础+进阶系统化白帽黑客学习

实战 | 记一次邮件系统C段引发的SQL手注和内网渗透

点赞,转发,在看

原文地址:见阅读原文

者:Omar Hamdy


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5MDU1NDk2MA==&mid=2247511348&idx=1&sn=d065e3b5b48bcf17d3bec8a60d133ab4&chksm=ec1cf80bdb6b711dacbe60599f506f4303a9d2d3f5a26a58289378f8fa7ea39942a5512659b9#rd
如有侵权请联系:admin#unsafe.sh