安基网 首页 安全 攻防案例 查看内容

绕过雷蛇官网的动态验证码

2019-10-18 07:54| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 大家好,我是@dhakal_ananda,来自尼泊尔,这是我在Hackerone上参加的雷蛇漏洞悬赏项目的一部分。一开始这个漏洞悬赏项目是一个非公开项目,我接到邀请后并没有参加;后来它变成了公开项目,我反而对它起了兴趣。在挖掘漏洞时,我更喜欢绕过各种安全功能(例如二次验证),而不是挖掘普通的XSS和SQL漏 ...


大家好,我是@dhakal_ananda,来自尼泊尔,这是我在Hackerone上参加的雷蛇漏洞悬赏项目的一部分。一开始这个漏洞悬赏项目是一个非公开项目,我接到邀请后并没有参加;后来它变成了公开项目,我反而对它起了兴趣。

在挖掘漏洞时,我更喜欢绕过各种安全功能(例如二次验证),而不是挖掘普通的XSS和SQL漏洞,于是我很快开始尝试绕过动态密码,因为它在你每次执行敏感操作时都会出现。

在进行了几次测试后,我发现目标应用会使用一个很长的令牌来标记是否输入了动态密码。只有输入有效的动态密码,才提供令牌。

那么我们能做些什么来绕过动态密码亦或是令牌的限制呢?我很快就想到,不同用户之间的令牌是否能通用?于是我进行了简单的尝试,发现确实有效。

复现步骤

  1. 登录攻击者的账户
  2. 转到https://razerid.razer.com/account,修改电子邮件地址
  3. 你将看到弹出一个对话框,提示需要输入动态密码
  4. 输入有效动态密码,再用BurpSuite拦截住更改电子邮件的最后请求
  5. 将请求发送到BurpSuite的Repeater中
  6. 此时登录受害者帐户(假设你有受害者帐户密码)
  7. 更改名称,拦截住相关请求
  8. 复制请求中的user_id和user_token,将其保存到文件中
  9. 转到BurpSuite拦截的攻击帐户更改电子邮件的请求中,将该请求中的user_id和user_token替换为受害者帐户的user_id和user_token(user_token和动态密码产生的令牌并不一样)
  10. 最后提交修改后的请求,查看受害者帐户绑定的电子邮件地址是否为攻击者所控制的电子邮件地址。
POST /api/emily/7/user-security/post HTTP/1.1
Host: razerid.razer.com
Connection: close
Content-Length: 260
Accept: application/json, text/plain, */*
Origin: https://razerid.razer.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36
DNT: 1
Sec-Fetch-Mode: cors
Content-Type: application/json;charset=UTF-8
Sec-Fetch-Site: same-origin
Referer: https://razerid.razer.com/account/email
Accept-Encoding: gzip, deflate
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8
Cookie: ...
{"data":"user_iduser_tokenotp_token_value_hereattacker-email@example.comadd10060"}

需要说明的是,在和雷蛇官网交互的过程中,和身份验证有关的有三个字段,它分别为user_id、user_token和OTP_token。其中OTP_token只有在输入动态密码的情况下才能获得。而雷蛇网站缺乏对令牌OTP_token的身份控制,只是验证了其有效性,导致所有的帐户都能利用同一个帐户的OTP_token绕过动态密码验证。

我把报告写的很详细,提交给雷蛇,但雷蛇的审核人员居然认为这个漏洞需要物理接触受害者的机器才能进行?


在经过长时间的扯皮后,雷蛇表示,他们提供一个测试帐号,如果我能更改帐号绑定的电子邮件地址,就认同我的漏洞。

很快,我就把这个帐号和我的电子邮件地址绑定在一起。雷蛇最后也给了我1000美元的漏洞奖励。

在这次经历后,我又找到了另一个动态密码绕过漏洞,在雷蛇修复后将会对外公开。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://nosec.org/home/detail/3056.html

原文:https://medium.com/@anandadhakal13/how-i-was-able-to-bypass-otp-token-requirement-in-razer-the-story-of-a-critical-bug-fc63a94ad572

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6748713004772098564/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人
1

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部