几个月前看到国外的bug bounty tips在传Host攻击技巧,前阵子又看到国内有不少文章总结,冷渗透就不再复述了,直接介绍实际业务场景中碰到的案例。
0x01 自定义Host—窃取Token
1. 找到重置密码处,填写任意一个受害者邮箱帐号,点击发送-Burpsuite抓包
2. 修改Host为自己搭建的HTTPS服务器47.xx.xx.47
只需要修改Host的值
(注意一点:看图片右上角,目标服务器是https,所以攻击者的服务器47.xx.xx.47也需要事先启一个https的服务器)
放行数据包
3. 电话/邮件/短信等社工受害者
随便举个栗子:
“为了保障账号的安全,请及时定期修改密码,系统已为您发送重置链接,请及时查看邮箱查收”
受害者打开邮箱
可以发现,这里收到的链接,是47.xx.xx.47
(上一步骤中攻击者自定义的Host值)
点击重置密码链接
此时受害者可能一脸蒙b
因为返回的是攻击者服务器的内容
会引起怀疑?没关系,我们已经拿到了Token
5. 攻击者查看47.xx.xx.47服务器
我使用的是python3 快速启动一个简易的https服务器
(你们可以试试python3启https)
成功获取到了重置密码链接的Token值
6. 攻击者拼接原始IP/域名为正确重置密码链接🔗
https://10.10.20.153****/reset\_password/Ik4xMHRoIg.Xyqm4xxxxxxxxxxxxxxxxxxx
访问URL
攻击者填写任意的新密码
图:重置密码页面
点击发送,即可成功重置用户密码
至此,完成账户入侵!
希望有用
————————————————————
以下内容明天再继续!
0x02 **畸形Host—**服务端缓存中毒
虽然漏洞超简单,而且评级只是中危
不过后来,用这个攻击方式
在一次秘密众测中,发现目标范围存在一大堆此类缺陷
获得了*K的赏金,也算是一个小惊喜~
闹了个乌龙
最开始误以为是F5设备的问题,
就简单写了一个英文的paper报送给官方
后来发现貌似并不是哈哈
打算明天再更
