🧢Laboratorio: Single-Endpoint Race Conditions

Esto es parte del documento escrito de james keetle:

• La idea principal aqui es poder integrar ello en el cambio de email de nuestro laboratorio vulnerable, se dice que el user carlos@ginandjuice.shop tiene una invitación como admin super user sin embargo no ha creado una cuenta, con base en ello lo que haré será primero analizar el change-email del lab y analizarlo para deducir su tiempo de verificación y cambio con el fin de comprobar si está bajo un hilo secundario que nos puede llevar a un race condition, o si no lo es.

El cambio de correo electronico es una operación que dura:

Realmente con ello en mente podemos pensar y tener claro que puede ser la opción perfecta para nuestra race condition ya que es un tiempo de milisegundos muy bajo para una operación que envía un email y además es enviado por hilo de fondo como ya sabemos, ¿que pasaría a probar ahora? El cambio de correo electronico de wiener y de carlos, primero de wiener y luego de carlos pero simultaneamente en un paralell single packet attack

La request originalmente estaba en HTTP/1.1 sin embargo yo la modifique dejandola en HTTP/2 y así funcionó exitosamente)

Creamos 2 request dentro de un paralell single packet, una petición que en este caso la primera debe ser el correo legitimo y la segunda el correo victima de carlos, y envío “n” veces el ataque hasta lograr conseguir que en nuestra bandeja de entrada de mi exploit llegue la confirmación pero del correo de carlos 👍

Ahí está el ultimo que llego fue el de carlos.

Listo le doy a click here to confirm, y exitosamente hemos podido comprometer el correo de carlos con permisos administrativos tomandolo como nuestro gracias a la condición de carrera generada del cambio de email.

Recargo la pagina principal:

Listo, ahora solo es cuestión de eliminar a carlos