👂Laboratorio: Password reset poisoning via middleware
Aunque no lo parezca en este lab no teníamos que directamente crear un servidor con burp collaborator sino realmente añadir tan simplemente la cabecera X-Forwarded-Host: que es la que nos hacía referencia al host al cual nosotros enviariamos la información que hacíamos de la Request POST forgot/password
Algo así:
Tomabamos la solicitud POST y la enviamos al repeater, luego en el repeater haciamos las modificaciones correspondientes, que era añadir el encabezado X-Forwa.. con la URL del server exploit claramente porque la información que se enviaba por el post iba directamente a esa URL y claro nosotros cambiamos además el username al de carlos en vez de wiener, y si no nos llegaba directamente el token generado de carlos al Email client pero si lo podiamos ver en los registros Logs ajaja y así podiamos tomar ese token.
Vulnerabilidades del HOST HTTP:
Y claro que si, tanto X-Forwarded como username=carlos los cambiábamos.
Aqui tenemos el token generado para carlos.
Ahora solo es cuestion de cambiarlo por el de wiener cuando generemos otro enlace de restablecimiento de contraseña para wiener. 😄
Token = forgot-password?temp-forgot-password-token=q3q5g09ufyjhs5k3u64nsgmdnxlh3jr5
Cambiando el Token ->
En este caso, el token no es el mismo que tengo arriba pero es porque generé otro token valido para la nueva sesión de wiener, normal cada vez que wiener hace el restablecimiento de contraseña yo en burp repeater tengo que enviar de nuevo la petición para generar un nuevo token para carlos.
Pero simple, la logica es la misma tenemos que cambiar el token de wiener por el de carlos y enviar la contraseña para nuestro user carlos.
Iniciamos Sesión ->
Last updated