از کشف توکن بازیابی رمز عبور تا تصاحب حساب کاربری

سلام دوستان، امیدوارم حالتون عالی باشه. در این پست قصد دارم چگونگی کشف آسیب پذیری Account Takeover در یکی از برنامه‌های بانتی را که مدتی قبل در یکی از برنامه های خصوصی کشف کردم را مورد بررسی قرار بدهم.
بدلیل اینکه از تیم امنیت اجازه انتشار نگرفتم اسم برنامه را target.com درنظر میگیرم. یکی از بخشهای جذاب و مورد علاقه‌ی من برای بررسی، بخش بازیابی رمزعبور هست. در سامانه‌ی آسیب‌پذیر، بخشی برای بازیابی رمز عبور به وسیله ایمیل وجود داشت که لینکی حاوی یک توکن برای تغییر رمز عبور به ایمیل ارسال میشد. با بررسی توکن ها مشخص شد که توکن هایی که ارسال میشود md5 هستند. تست های مختلفی را برای کشف آسیب‌پذیری در این بخش انجام دادم اما نتیجه ای حاصل نشد. مدتی بعد مجددا شروع به بررسی همون قسمت کردم. برای بررسی واکنش اپلیکیشن، درخواست مربوط به بازیابی رمزعبور را 10 بار با استفاده از Turbo Inturder در Burp به سرعت ارسال کردم و از 10 توکن ارسال شده به ایمیل، 2 توکن دقیقا یکسان بودند و مابقی توکن ها هر کدام با یکدیگر متفاوت بودند.

چیزی که حدس زدم این بود که به دلیل ارسال 2 مورد از درخواستها در تایم یکسان، ما بین لینک‌های ارسالی دو مورد یکسان هستند و بنابراین توکن‌ها بر مبنای تایم ساخته میشوند پس فلوی زیر به ذهنم رسید:

سامانه با PHP نوشته شده بود. پس به نظرم رسید که پیاده‌سازی باید به این شکل باشد:

حالا با توجه به حدسی که زدم به مرحله ی تست کردن رسیدم؛ در ابتدا حدسیات خودم را با ایمیلم در کد پیاده‌سازی کردم:

با توجه به کد بالا هر بار که برنامه اجرا شود، ایمیل من و زمان کنونی بر مبنای تایم در PHP بعد از چسبیدن به هم، MD5 می‌شوند. در مرحله ی بعد با استفاده از Inturder در Burp شروع به اجرای برنامه خودم به صورت پیوسته کردم و همزمان که برنامه من در حال ساخت توکن بر مبنای ایمیلم و زمان بود، درخواست بازنشانی رمزعبور را در سامانه ارسال کردم و Inturder را متوقف کردم. بعد از اون مشتاقانه توکن ارسال شده به ایمیلم را به وسیله‌ی افزونه ++Logger در Burp جست و جو کردم:

متاسفانه کاملا بی‌فایده بود و به هیچ نتیجه ای نرسیدم!
ولی به هیچ عنوان ناامید نشدم و کل فلو را مجددا در ذهنم مورد بررسی قرار دادم. مورد قطعی این بود که اگر تا اینجا‌‌‌‌‌‌ی کار پیاده‌سازی را درست حدس زده باشم پس الگوی ساخت توکن می بایست شامل مورد یا موارد دیگری هم باشد. اما معمای اصلی همان موارد اضافه تر بود!

در این شرایط تنها چیزی که می تواند به ما کمک بکند FUZZ کردن هست. موردی که در پیاده‌سازی موارد مختلف توسط برنامه‌نویس استفاده میشه، استفاده از کارکتر‌های مختلف به عنوان جداکننده(Separator) هست؛ پس حالت زیر به فکرم رسید:

بنابراین مجددا با کارکتر های مختلف، پیاده سازی را در کد انجام دادم و در واقع کارکتر‌های مختلف را با روش بالا FUZZ کردم. بعد از تست چند کارکتر به (|) رسیدم.

مجددا برنامه را با Inturder در Burp اجرا کردم و همزمان درخواست ارسال لینک بازیابی رمزعبور را ارسال کردم.
حالا نوبت به جست و جو کردن توکن ارسالی در Burp رسید:

اینبار موفقیت آمیز بود!! خوشبختانه بعد از زمان زیادی که روی این بخش صرف کردم به نتیجه رسیدم و به دلیل پیاده‌سازی نا‌امن و کشف الگوی این پیاده سازی، آسیب پذیری مهمی کشف شد.

و اما سناریو اکسپلویت:

برای بهره‌برداری از این مشکل فقط کافیست فرآیند بالا را با ایمیل Victim تکرار بکنیم و توکن‌های ایجاد شده توسط برنامه خودمان را استخراج و به جای توکن در لینک بازیابی قرار بدهیم و در واقع لینک بازیابی را توسط توکن‌های ایجاد شده، FUZZ بکنیم و رمز عبور حساب کاربری Victim را تغییر و حساب او را تصاحب بکنیم.

داخل پرانتز:

پیاده‌سازی‌ها به حالت‌های مختلفی انجام میشود ومن قبل از حدس حالت اشاره شده در این نوشته و کشف این آسیب‌پذیری، تست‌های متفاوتی را در حالت‌های مختلف برای کشف الگوی ساخت توکن به کار بردم؛ از جمله حالت MD5 شدن Time به تنهایی و جا‌به‌جایی Time و Email در MD5 شدن.

خیلی ممنونم بابت اینکه من را تا پایان همراهی کردید. امیدوارم این نوشته مفید واقع شده باشد.
همچنین اگر دوست داشتید، خوشحال میشم من را در سوشال‌های دیگر دنبال بکنید.

instagram