Laboratorio: Basic password reset poisoning
PreviousLaboratorio: Password reset broken logicNextLaboratorio: Password reset poisoning via middleware
Last updated
Last updated
En este laboratorio intentaremos explotar e ingresar a la cuenta del user Carlos como objetivo, mediante el proceso de restablecimiento de contraseña.
En el anterior laboratorio que era por medio del middleware, logramos restablecer la contraseña de carlos sin conocer su contraseña simplemente teniendo el token generado por el servidor, en este caso con ayuda del encabezado X-Forwarded-Host, pero para este caso sin el reset password basic se supone tendríamos que lograr algo mucho más certero facil de alcanzar.
Vamos a ver si modificando la peticion de reset-password/ de Wiener y solo cambiando el parametro username=wiener → username=Carlos podemos lograr obtener el token enviado al server client directamente desde email client o sino desde los server**>**Logs
En este caso analizamos la petición POST forgot-password/ y efectivamente hay algo y es que de nuevo la pagina se refiere a un host que es el de la pagina, pero ¿y si modificamos por el sitio al que podría llegar la info si lo cambiamos? como la url del server exploit en cualquier cosa es cosa de probar.
Enviamos la petición a burp Repeater.
En este caso podemos ver que modificando el encabezado Host: server exploit, y modificando el username=Carlos, podemos ver que el response es de verificar que nos llegue el link para hacer reset a la password.
Y en este caso si revisamos los logs, nos encontramos con algo muy curioso y es lo mismo del laboratorio anterior:
forgot-password?temp-forgot-password-token=hcjhgnxrfzhmimk4yyzdxqcdvudmo03y
En este caso iremos a reset password para wiener y obtendremos su bello enlace:
Ahora abrimos esa url
Y volvemos a enviar la solicitud que hicimos en repeater con el username=carlos y el host: server exploit, esto con el fin de generar otro token valido para la sesión de carlos y que lo podamos cambiar por el token de wiener.
forgot-password?temp-forgot-password-token=4pnl6begcuj7ohl3ey5eh0zdke9kxbsf
Así tiene que quedar la url de wiener jeje, con el token de CARLOS, hagame el favor.
Password: carlos10
Username: carlos
:)
