你发现了一个2022年的陈旧技术贴,由Ebenezer本人发布
问题描述:授权Token的逻辑缺陷
在我们的AethID认证流程中,我们要求所有员工必须使用TOTP应用进行2FA验证。流程本应如下:
1.用户输入用户名/密码→生成待认证Token(auth_tkn)
2.系统重定向至2FA验证页面。
3.用户输入TOTP码→验证成功→升级auth_tkn的权限,允许访问资源
然而,我们发现auth_tkn的生成机制存在一个灾难性的逻辑缺陷:
在第1步成功后生成的auth_tkn中,我们虽然加入了claim来标识用户身份,但并未在Token
Payload内部包含一个独立的、不可篡改的 flag(如2FA_passed:false)
核心漏洞:Token篡改绕过
理论上,当用户在第2步未完成2FA认证时,他们拥有的auth_tkn应该只被允许用于访问2FA验证API
但实际情况是:
1.恶意用户在第1步成功后,拦截了生成的auth_tkn。
2.该用户没有去2FA页面,而是直接将这个未经验证的Token投入了内部的资源访问API端
点(例如,访问我们的AWSS3文件列表服务API)。
3.问题:资源API仅检查auth_tkn是否有效(Valid)(即未过期、签名正确),但没有检查
auth_tkn对应的会话状态是否完成了2FA流程。
*你发现了渗透目标的高危漏洞:《OAuth Token篡改》
Kiki也兴奋的告诉你,他找到了某小众论坛中泄露出的Ebenezer@gmail.com为账号的明文密码
*《计算机》提高到了9(4[3,5]/200)
---------------------------------
渗透目标:Ether Dynamics(以太动力)
目标信息:无
网络架构:双因素认证系统存在OAuth Token篡改
已经破解的信息:高管Ebenezer Hiler的私人邮箱Ebenezer@gmail.com为账号的明文密码
剩余回合:11
Kiki准备去执行密码喷洒(用已破解的密码去尝试登陆Aetheria Dynamics互联网可达的所有服务)
>1发送一封“银行通知”为题的钓鱼邮件到Ebenezer@gmail.com(来自高《社交》)
>2
>3挂个Nessus,直接开始扫描Ether Dynamics公司网站,寻找已知漏洞(常规流程,可能导致IP被ban)
>4致电给Ether Dynamics前台(看你能怎么吹了)
>5挂个Hydra,用Ebenezer@gmail.com开始弱口令爆破Ether Dynamics登陆界面(直接,粗暴,不总是有效,非常可能导致IP被ban)
>6用Sqlmap开始sql注入Ether Dynamics官网(简单粗暴,破坏力十足,非常可能导致IP被ban)
>7资产测绘和子域名枚举(帮助你了解渗透对象的网络架构)
>8利用OAuth Token篡改漏洞,进入内网
>9看不懂也不感兴趣,开个自动战斗得了
>自定义
