ОБХОД 2ФА
Обход двухфакторной аутентификации
[ ] Неверная логика двухфакторной проверки Иногда ошибочная логика двухфакторной аутентификации означает, что после того, как пользователь выполнил начальный шаг входа в систему, веб-сайт не может должным образом проверить, что тот же пользователь выполняет второй шаг. Например, пользователь регистрируется. на первом этапе со своими обычными учетными данными следующим образом:
Затем им назначается файл cookie, относящийся к их учетной записи, прежде чем они переходят ко второму этапу процесса входа в систему:
При отправке кода подтверждения запрос использует этот файл cookie, чтобы определить, к какой учетной записи пользователь пытается получить доступ:
В этом случае злоумышленник может войти в систему, используя свои собственные учетные данные, но затем изменить значение файла cookie учетной записи на любое произвольное имя пользователя при отправке проверочного кода.
[ ] Кликджекинг при отключении функции 2FA
[ ] Манипулирование ответом
POST /login-steps/first HTTP/1.1
Хост: уязвимый-website.com
...
имя пользователя=carlos&пароль=qwerty
HTTP/1.1 200 ОК
Set-Cookie: account=carlos
GET /login-steps/второй HTTP/1.1
Файл cookie: account=carlos
POST /login-steps/второй HTTP/1.1
Хост: уязвимый-website.com
Файл cookie: account=carlos
...
код проверки = 123456`
POST /login-steps/второй HTTP/1.1
Хост: уязвимый-website.com
Файл cookie: аккаунт=пользователь-жертва
...
код проверки = 123456
1. Попробуйте Iframe страницу, на которой приложение позволяет пользователю отключить 2FA.
2. Если Iframe прошел успешно, попробуйте выполнить атаку социальной инженерии, чтобы манипулировать жертвой
1. Проверьте ответ на запрос 2FA.
2. Если вы наблюдаете «Успех»: false
3. Измените это значение на «Успех»: true и посмотрите, обойдет ли оно 2FA.
[ ] Манипулирование кодом состояния
1. Если код состояния ответа равен 4XX, например 401, 402 и т. д.
2. Измените код состояния ответа на «200 OK» и посмотрите, обходит ли он 2FA.
[ ] Повторное использование кода 2FA
[ ] CSRF при отключении функции 2FA
1. Запросите код 2FA и используйте его.
2. Теперь повторно используйте код 2FA, и если он используется успешно, это проблема.
3. Кроме того, попробуйте запросить несколько кодов 2FA и посмотрите, истекает ли срок действия ранее запрошенных кодов или нет.
4. Кроме того, попробуйте повторно использовать ранее использованный код по истечении длительного времени, например, 1 дня или более. Что
1. Запросите код 2FA и используйте его.
2. Теперь повторно используйте код 2FA, и если он используется успешно, это проблема.
3. Также попробуйте запросить несколько кодов 2FA и посмотрите, запрошены ли ранее коды.
истекает или нет, когда запрашивается новый код
4. Кроме того, попробуйте повторно использовать ранее использованный код по истечении длительного времени, например, 1 дня или
более. Это будет потенциальной проблемой, поскольку 1 дня достаточно, чтобы разобраться и угадать.
6-значный код 2FA
[ ] Злоупотребление резервным кодом
[ ] Включение 2FA не истекает из предыдущего сеанса
[ ] 2FA Обход проверки ссылки
[ ] Утечка кода 2FA в ответ
[ ] Анализ JS-файлов
Примените те же методы, что и для 2FA, такие как манипулирование кодом ответа/статуса,
Брутфорс и т. д. для обхода резервных кодов и отключения/сброса 2FA.
1. Войдите в приложение в двух разных браузерах и включите 2FA с первого сеанса.
2. Используйте второй сеанс, и если срок его действия еще не истек, это может стать проблемой, если недостаточно
проблема с истечением срока действия сессии. В этом сценарии, если злоумышленник захватит активный сеанс до
2FA, все функции можно выполнять без необходимости использования 2FA.
1. Непосредственно перейдите на страницу, которая идет после 2FA или любой другой аутентификации.
страница приложения.
2. Если ничего не получилось, измените заголовок ссылки на URL-адрес страницы 2FA. Это может обмануть
приложение делает вид, что запрос поступил после выполнения условия 2FA
1. При запросе запуска кода 2FA, например при отправке OTP, перехватите запрос.
2. Посмотрите ответ на этот запрос и проанализируйте, есть ли утечка кода 2FA.
1. при запуске запроса кода 2FA,
2. Проанализируйте все файлы JS, указанные в ответе.
3. чтобы узнать, содержит ли какой-либо файл JS информацию, которая может помочь обойти код 2FA. [ ] Отсутствие защиты от грубой силы
Это включает в себя всевозможные проблемы, возникающие при неправильной настройке безопасности, такие как
отсутствие ограничения скорости, отсутствие защиты от перебора и т. д.
1. Запросите код 2FA и запишите этот запрос.
2. Повторите этот запрос 100-200 раз, и если ограничение не установлено, это предел скорости.
3. На странице проверки кода 2FA попробуйте подобрать действительный 2FA и посмотреть, есть ли какие-либо успехи.
4. Также можно попробовать инициировать, запрашивая одноразовые пароли на одной стороне и перебирая на другой.
другая сторона. Где-то OTP будет совпадать посередине и может дать вам быстрый результат.
[ ] Сброс пароля/изменение электронной почты – отключение 2FA
[ ] Отсутствует проверка целостности кода 2FA
[ ] Прямой запрос
[ ] Повторное использование токена
[ ] Обмен неиспользованными токенами
[ ] Утекший токен
[ ] Разрешение сеанса
1. Предполагая, что вы можете изменить адрес электронной почты или сбросить пароль для
пользователя-жертвы или заставить пользователя-жертву сделать это любыми возможными способами.
2. 2FA отключается после изменения адреса электронной почты или сброса пароля. Это могло, это может
быть проблемой для некоторых организаций. Однако это зависит от конкретного случая.
1. Запросите код 2FA у учетной записи злоумышленника.
2. Используйте этот действительный код 2FA в vi.
ctim Запрос 2FA и посмотрите, обходит ли он защиту 2FA.
1. Непосредственно перейдите на страницу, которая идет после 2FA или любой другой аутентификации.
страница приложения.
2. Посмотрите, обходит ли это ограничения 2FA.
3. попробуйте изменить **Заголовок Referrer**, как если бы вы пришли со страницы 2FA.
1. Возможно, вы можете повторно использовать ранее использованный токен внутри учетной записи для аутентификации.
1. Проверьте, можете ли вы получить токен из своей учетной записи, и попробуйте использовать его для обхода 2FA в разнице.
1. Происходит ли утечка токена в ответ веб-приложения?
1. Используя один и тот же сеанс, запустите поток, используя свою учетную запись и учетную запись жертвы.
2. При достижении точки 2FA на обоих аккаунтах,
3. завершите 2FA со своей учетной записью, но не переходите к следующей части.
4. Вместо этого попробуйте получить доступ к следующему шагу с потоком учетной записи жертвы.
5. Если серверная часть устанавливает только логическое значение внутри ваших сеансов, говорящее, что вы успешно прошли
[ ] Функция сброса пароля
[ ] Отсутствие ограничения скорости
[ ] Ограничение скорости потока, но без ограничения скорости
[ ] Повторно отправить код и сбросить лимит
[ ] Обход ограничения скорости на стороне клиента
[ ] Отсутствие ограничения скорости в аккаунте пользователя
[ ] Отсутствие ограничения скорости повторной отправки кода по SMS
[ ] Бесконечная регенерация OTP
[ ] Угадываемое печенье
1. Практически во всех веб-приложениях функция **сброса пароля автоматически осуществляет вход пользователя в систему.
2. Проверьте, отправлено ли **письмо** со **ссылкой** для **сброса пароля** и можете ли вы **повторно использовать**
Есть ли какое-либо ограничение на количество кодов, которые вы можете попробовать, чтобы вы могли просто перебрать их? Будь ок
В данном случае есть ограничение скорости потока (приходится очень медленно брутфорсить: 1 поток и так
Существует ограничение скорости, но когда вы «повторно отправляете код», отправляется тот же код, и ограничение скорости
{% content-ref url="rate-limit-bypass.md" %}rate-limit-bypass.md {% endcontent-ref %}
Иногда можно настроить 2FA на какие-то действия внутри аккаунта (сменить почту, пароль..
Вы не сможете обойти 2FA, но сможете потратить деньги компании впустую.
Если вы можете **генерировать новый OTP бесконечное количество раз**, то** OTP будет достаточно простым** (4 числа), и y
Если функция «Запомнить меня» использует новый файл cookie с угадываемым кодом, попробуйте угадать его.
[ ] Айпи адрес
Если к вашему IP-адресу привязана функция «запомнить меня», вы можете попробовать выяснить
[ ] Субдомены
[ ] API
[ ] Предыдущие сессии
[ ] Неправильный контроль доступа к резервным кодам.
[ ] Раскрытие информации
[ ] Обход 2FA с нулем или 000000
[ ] Ранее созданные сеансы продолжают действовать после активации MFA.
[ ] Включить 2FA без проверки электронной почты. Я могу добавить 2FA в свою учетную запись без проверки электронной почты.
[ ] Пароль не проверяется при отключении 2FA
Если вы сможете найти несколько «тестовых» поддоменов с функцией входа в систему, возможно, они используют старую версию v.
Если вы обнаружите, что 2FA использует API, расположенный в каталоге /v*/ (например, «/v3/»), эта проблема
Когда 2FA включен, предыдущие созданные сеансы должны быть завершены. Это потому, что когда клиент
Резервные коды генерируются сразу после включения 2FA и доступны по одному запросу.
Если вы заметили, что на странице 2FA появилась конфиденциальная информация, о которой вы раньше не знали.
1 получить доступ к одной и той же учетной записи на https://account.grammarly.com на двух устройствах.
2 на устройстве «А» перейдите на https://account.grammarly.com/security > выполните все шаги, чтобы активировать
Теперь 2FA активирована для этой учетной записи.
3 вернуться к устройству «Б» перезагрузить страницу Сеанс все еще активен
Сценарий атаки:
Злоумышленник зарегистрируется, указав адрес электронной почты жертвы (подтверждение электронной почты будет отправлено на адрес электронной почты жертвы).
Злоумышленник может войти в систему без проверки электронной почты.
Злоумышленник добавляет 2FA.
PoC
1- зайдите в свою учетную запись и активируйте 2FA из /settings/auth.
2- после активации этой опции щелкните значок «Отключено» рядом с «Двухфакторная аутентификация».
3- откроется новое окно с запросом аутентификации или резервного кода - пароль для подтверждения отключения.
4- в первом поле введите действительный код аутентификации или резервный код, а в поле пароля введите
5- опция будет успешно отключена без проверки проверки пароля.
[ ] Режим MFA «электронная почта» позволяет обойти MFA с устройства жертвы, если срок доверия к устройству не истек.
Действия по воспроизведению:
Примечание:
1-Используйте пакет Burp или другой инструмент для перехвата запросов.
2-Включите и настройте MFA.
3-Войдите, используя свой адрес электронной почты и пароль.
4-Появится страница МИДа.
5-Введите любое случайное число
6-при нажатии кнопки "безопасный вход" перехватить запрос POST auth.grammarly.com/v3/a
"mode":"sms" на "mode":"email"
«secureLogin»: true от «secureLogin»: false
7-отправьте модификацию и проверьте, вы в своем аккаунте! Не нужно было вводить фо
[ ] Обход 2FA путем отправки пустого кода
1. Войдите в Glassdoor и перейдите по адресу https://www.glassdoor.com/member/account/securitySettings_i.
2- Включить 2FA
3- Выход из системы
4- Войдите еще раз и обратите внимание, что запрашивается OTP.
5. Теперь с помощью пакета Burp перехватите запрос POST, отправив неверный код. [Не пересылать]
6- Перед отправкой запроса
есть на сервер, удаляем код и вперед
7- Выключите перехват и обратите внимание, что ваш запрос на вход был выполнен.
- Спасибо!
Обход двухфакторной аутентификации
[ ] Неверная логика двухфакторной проверки Иногда ошибочная логика двухфакторной аутентификации означает, что после того, как пользователь выполнил начальный шаг входа в систему, веб-сайт не может должным образом проверить, что тот же пользователь выполняет второй шаг. Например, пользователь регистрируется. на первом этапе со своими обычными учетными данными следующим образом:
Затем им назначается файл cookie, относящийся к их учетной записи, прежде чем они переходят ко второму этапу процесса входа в систему:
При отправке кода подтверждения запрос использует этот файл cookie, чтобы определить, к какой учетной записи пользователь пытается получить доступ:
В этом случае злоумышленник может войти в систему, используя свои собственные учетные данные, но затем изменить значение файла cookie учетной записи на любое произвольное имя пользователя при отправке проверочного кода.
[ ] Кликджекинг при отключении функции 2FA
[ ] Манипулирование ответом
POST /login-steps/first HTTP/1.1
Хост: уязвимый-website.com
...
имя пользователя=carlos&пароль=qwerty
HTTP/1.1 200 ОК
Set-Cookie: account=carlos
GET /login-steps/второй HTTP/1.1
Файл cookie: account=carlos
POST /login-steps/второй HTTP/1.1
Хост: уязвимый-website.com
Файл cookie: account=carlos
...
код проверки = 123456`
POST /login-steps/второй HTTP/1.1
Хост: уязвимый-website.com
Файл cookie: аккаунт=пользователь-жертва
...
код проверки = 123456
1. Попробуйте Iframe страницу, на которой приложение позволяет пользователю отключить 2FA.
2. Если Iframe прошел успешно, попробуйте выполнить атаку социальной инженерии, чтобы манипулировать жертвой
1. Проверьте ответ на запрос 2FA.
2. Если вы наблюдаете «Успех»: false
3. Измените это значение на «Успех»: true и посмотрите, обойдет ли оно 2FA.
[ ] Манипулирование кодом состояния
1. Если код состояния ответа равен 4XX, например 401, 402 и т. д.
2. Измените код состояния ответа на «200 OK» и посмотрите, обходит ли он 2FA.
[ ] Повторное использование кода 2FA
[ ] CSRF при отключении функции 2FA
1. Запросите код 2FA и используйте его.
2. Теперь повторно используйте код 2FA, и если он используется успешно, это проблема.
3. Кроме того, попробуйте запросить несколько кодов 2FA и посмотрите, истекает ли срок действия ранее запрошенных кодов или нет.
4. Кроме того, попробуйте повторно использовать ранее использованный код по истечении длительного времени, например, 1 дня или более. Что
1. Запросите код 2FA и используйте его.
2. Теперь повторно используйте код 2FA, и если он используется успешно, это проблема.
3. Также попробуйте запросить несколько кодов 2FA и посмотрите, запрошены ли ранее коды.
истекает или нет, когда запрашивается новый код
4. Кроме того, попробуйте повторно использовать ранее использованный код по истечении длительного времени, например, 1 дня или
более. Это будет потенциальной проблемой, поскольку 1 дня достаточно, чтобы разобраться и угадать.
6-значный код 2FA
[ ] Злоупотребление резервным кодом
[ ] Включение 2FA не истекает из предыдущего сеанса
[ ] 2FA Обход проверки ссылки
[ ] Утечка кода 2FA в ответ
[ ] Анализ JS-файлов
Примените те же методы, что и для 2FA, такие как манипулирование кодом ответа/статуса,
Брутфорс и т. д. для обхода резервных кодов и отключения/сброса 2FA.
1. Войдите в приложение в двух разных браузерах и включите 2FA с первого сеанса.
2. Используйте второй сеанс, и если срок его действия еще не истек, это может стать проблемой, если недостаточно
проблема с истечением срока действия сессии. В этом сценарии, если злоумышленник захватит активный сеанс до
2FA, все функции можно выполнять без необходимости использования 2FA.
1. Непосредственно перейдите на страницу, которая идет после 2FA или любой другой аутентификации.
страница приложения.
2. Если ничего не получилось, измените заголовок ссылки на URL-адрес страницы 2FA. Это может обмануть
приложение делает вид, что запрос поступил после выполнения условия 2FA
1. При запросе запуска кода 2FA, например при отправке OTP, перехватите запрос.
2. Посмотрите ответ на этот запрос и проанализируйте, есть ли утечка кода 2FA.
1. при запуске запроса кода 2FA,
2. Проанализируйте все файлы JS, указанные в ответе.
3. чтобы узнать, содержит ли какой-либо файл JS информацию, которая может помочь обойти код 2FA. [ ] Отсутствие защиты от грубой силы
Это включает в себя всевозможные проблемы, возникающие при неправильной настройке безопасности, такие как
отсутствие ограничения скорости, отсутствие защиты от перебора и т. д.
1. Запросите код 2FA и запишите этот запрос.
2. Повторите этот запрос 100-200 раз, и если ограничение не установлено, это предел скорости.
3. На странице проверки кода 2FA попробуйте подобрать действительный 2FA и посмотреть, есть ли какие-либо успехи.
4. Также можно попробовать инициировать, запрашивая одноразовые пароли на одной стороне и перебирая на другой.
другая сторона. Где-то OTP будет совпадать посередине и может дать вам быстрый результат.
[ ] Сброс пароля/изменение электронной почты – отключение 2FA
[ ] Отсутствует проверка целостности кода 2FA
[ ] Прямой запрос
[ ] Повторное использование токена
[ ] Обмен неиспользованными токенами
[ ] Утекший токен
[ ] Разрешение сеанса
1. Предполагая, что вы можете изменить адрес электронной почты или сбросить пароль для
пользователя-жертвы или заставить пользователя-жертву сделать это любыми возможными способами.
2. 2FA отключается после изменения адреса электронной почты или сброса пароля. Это могло, это может
быть проблемой для некоторых организаций. Однако это зависит от конкретного случая.
1. Запросите код 2FA у учетной записи злоумышленника.
2. Используйте этот действительный код 2FA в vi.
ctim Запрос 2FA и посмотрите, обходит ли он защиту 2FA.
1. Непосредственно перейдите на страницу, которая идет после 2FA или любой другой аутентификации.
страница приложения.
2. Посмотрите, обходит ли это ограничения 2FA.
3. попробуйте изменить **Заголовок Referrer**, как если бы вы пришли со страницы 2FA.
1. Возможно, вы можете повторно использовать ранее использованный токен внутри учетной записи для аутентификации.
1. Проверьте, можете ли вы получить токен из своей учетной записи, и попробуйте использовать его для обхода 2FA в разнице.
1. Происходит ли утечка токена в ответ веб-приложения?
1. Используя один и тот же сеанс, запустите поток, используя свою учетную запись и учетную запись жертвы.
2. При достижении точки 2FA на обоих аккаунтах,
3. завершите 2FA со своей учетной записью, но не переходите к следующей части.
4. Вместо этого попробуйте получить доступ к следующему шагу с потоком учетной записи жертвы.
5. Если серверная часть устанавливает только логическое значение внутри ваших сеансов, говорящее, что вы успешно прошли
[ ] Функция сброса пароля
[ ] Отсутствие ограничения скорости
[ ] Ограничение скорости потока, но без ограничения скорости
[ ] Повторно отправить код и сбросить лимит
[ ] Обход ограничения скорости на стороне клиента
[ ] Отсутствие ограничения скорости в аккаунте пользователя
[ ] Отсутствие ограничения скорости повторной отправки кода по SMS
[ ] Бесконечная регенерация OTP
[ ] Угадываемое печенье
1. Практически во всех веб-приложениях функция **сброса пароля автоматически осуществляет вход пользователя в систему.
2. Проверьте, отправлено ли **письмо** со **ссылкой** для **сброса пароля** и можете ли вы **повторно использовать**
Есть ли какое-либо ограничение на количество кодов, которые вы можете попробовать, чтобы вы могли просто перебрать их? Будь ок
В данном случае есть ограничение скорости потока (приходится очень медленно брутфорсить: 1 поток и так
Существует ограничение скорости, но когда вы «повторно отправляете код», отправляется тот же код, и ограничение скорости
{% content-ref url="rate-limit-bypass.md" %}rate-limit-bypass.md {% endcontent-ref %}
Иногда можно настроить 2FA на какие-то действия внутри аккаунта (сменить почту, пароль..
Вы не сможете обойти 2FA, но сможете потратить деньги компании впустую.
Если вы можете **генерировать новый OTP бесконечное количество раз**, то** OTP будет достаточно простым** (4 числа), и y
Если функция «Запомнить меня» использует новый файл cookie с угадываемым кодом, попробуйте угадать его.
[ ] Айпи адрес
Если к вашему IP-адресу привязана функция «запомнить меня», вы можете попробовать выяснить
[ ] Субдомены
[ ] API
[ ] Предыдущие сессии
[ ] Неправильный контроль доступа к резервным кодам.
[ ] Раскрытие информации
[ ] Обход 2FA с нулем или 000000
[ ] Ранее созданные сеансы продолжают действовать после активации MFA.
[ ] Включить 2FA без проверки электронной почты. Я могу добавить 2FA в свою учетную запись без проверки электронной почты.
[ ] Пароль не проверяется при отключении 2FA
Если вы сможете найти несколько «тестовых» поддоменов с функцией входа в систему, возможно, они используют старую версию v.
Если вы обнаружите, что 2FA использует API, расположенный в каталоге /v*/ (например, «/v3/»), эта проблема
Когда 2FA включен, предыдущие созданные сеансы должны быть завершены. Это потому, что когда клиент
Резервные коды генерируются сразу после включения 2FA и доступны по одному запросу.
Если вы заметили, что на странице 2FA появилась конфиденциальная информация, о которой вы раньше не знали.
1 получить доступ к одной и той же учетной записи на https://account.grammarly.com на двух устройствах.
2 на устройстве «А» перейдите на https://account.grammarly.com/security > выполните все шаги, чтобы активировать
Теперь 2FA активирована для этой учетной записи.
3 вернуться к устройству «Б» перезагрузить страницу Сеанс все еще активен
Сценарий атаки:
Злоумышленник зарегистрируется, указав адрес электронной почты жертвы (подтверждение электронной почты будет отправлено на адрес электронной почты жертвы).
Злоумышленник может войти в систему без проверки электронной почты.
Злоумышленник добавляет 2FA.
PoC
1- зайдите в свою учетную запись и активируйте 2FA из /settings/auth.
2- после активации этой опции щелкните значок «Отключено» рядом с «Двухфакторная аутентификация».
3- откроется новое окно с запросом аутентификации или резервного кода - пароль для подтверждения отключения.
4- в первом поле введите действительный код аутентификации или резервный код, а в поле пароля введите
5- опция будет успешно отключена без проверки проверки пароля.
[ ] Режим MFA «электронная почта» позволяет обойти MFA с устройства жертвы, если срок доверия к устройству не истек.
Действия по воспроизведению:
Примечание:
1-Используйте пакет Burp или другой инструмент для перехвата запросов.
2-Включите и настройте MFA.
3-Войдите, используя свой адрес электронной почты и пароль.
4-Появится страница МИДа.
5-Введите любое случайное число
6-при нажатии кнопки "безопасный вход" перехватить запрос POST auth.grammarly.com/v3/a
"mode":"sms" на "mode":"email"
«secureLogin»: true от «secureLogin»: false
7-отправьте модификацию и проверьте, вы в своем аккаунте! Не нужно было вводить фо
[ ] Обход 2FA путем отправки пустого кода
1. Войдите в Glassdoor и перейдите по адресу https://www.glassdoor.com/member/account/securitySettings_i.
2- Включить 2FA
3- Выход из системы
4- Войдите еще раз и обратите внимание, что запрашивается OTP.
5. Теперь с помощью пакета Burp перехватите запрос POST, отправив неверный код. [Не пересылать]
6- Перед отправкой запроса
есть на сервер, удаляем код и вперед
7- Выключите перехват и обратите внимание, что ваш запрос на вход был выполнен.
- Спасибо!
Last edited by a moderator:
