🐯Laboratorio: lógica rota 2FA

En este lab vamos a aprender que el 2FA no siempre es seguro sino está correctamente implementado, en este caso por un parametro mal integrado `mfa`.

Vamos a cambiar el verify de la cookie por el user que queremos obtener que en este caso es “carlos”, pero además de eso veremos como podemos añadir parametros de posición al mfa-code

El param de multi factor auth

Le ponemos params de posición para Brute Force

Y esta es la forma en como configuramos el payload para que haga las 9999 combinaciones de 4 digitos, por un ataque de fuerza bruta, pero hay letras esas las eliminamos para este ataque solo nos interesan las posibles combinaciones de numeros, no letras.

Y así lo redujimos a solo 10k

Ahora solo esperar a cual de todos nos da un 302 como code status, y el que sea le damos “Show response in browser” para poder simular la peticion e ingresar saltandonos el 2FA de la App. y terminar el Lab.

¿Cual es el problema con esto? Que la verdad es que probar todas esas secuencias se vuelve algo complejo y dificil debido a que el burp community no permite lograr todas las peticiones en un gran tiempo, se demora un eternidad, con tan solo 10.000 peticiones en total que debe probar del ataque de fuerza bruta que iniciamos.

Definitivamente será probando la extensión tubroIntruder, porque de lo contrario será muy complejo lograrlo.

En este caso usaremos la herramienta ZAP para poder lograr el ataque ya que con burpsuite resulta muy demorado y complejo de lograr.

Enlace pagina demostrativa:

PortSwigger Labs: 2FA Broken LogicZAP

Importante el mfa-code=%s asi es como modificamos los parametros de posicion en turbo intruder “%s” y ya, el verify lo cambiamos a carlos ylisto.

Tomamos la solicitud de la pagina, iniciamos como wiener antes de enviar el codigo de 4 digitos tomamos el login1/ y lo enviamos a receapter para poder modificar el verify:Carlos y así poder generar un 2FA fake que lo digitariamos, hariamos log out de wiener e ingresariamos de nuevo pero poniendo el codigo fake que genero el email, ahora luego de ello tomariamos el login2/ para poder empezar a modificar la solicitud, con turbo intruder lo hariamos, con un codigo especifico:

Código de Turbo Intruder para el ataque:

# Find more example scripts at https://github.com/PortSwigger/turbo-intruder/blob/master/resources/examples/default.py
def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                           concurrentConnections=25,
                           requestsPerConnection=200,
                           pipeline=False
                           )
    engine.start()
    
    for i in range(10000):
        engine.queue(target.req, '{0:04}'.format(i))


def handleResponse(req, interesting):
    #if '302' in req.response:
    table.add(req)

Luego de ello pudimos observar que tomamos una solicitud que nos dió 302 significa que fue una redirección exitosa la cual pudimos ingresar como carlos bypasseando el 2FA de wiener.

Con esto lo que tenemos que hacer es un Show Response in Browser para poder mostrar la solicitud de 302 e ingresar directamente ya como Carlos, así:

Y con esto es claro que debo siempre jugar con el proxy listener apagarlo o prenderlo para poder gestionar las paginas las redirecciones o la informacion que necesito ver.

Pero aqui ya enhorabuena pudimos lograr ingresar como carlos:

Eso es todo, si llegaste hasta aquí gracias por leerme y espero te haya servido :)