长亭百川云 - 文章详情

实战笔记之Host 标头漏洞挖掘(一)

冷渗透

69

2024-07-13

几个月前看到国外的bug bounty tips在传Host攻击技巧,前阵子又看到国内有不少文章总结,冷渗透就不再复述了,直接介绍实际业务场景中碰到的案例。

0x01 自定义Host—窃取Token

1. 找到重置密码处,填写任意一个受害者邮箱帐号,点击发送-Burpsuite抓包

 

2. 修改Host为自己搭建的HTTPS服务器47.xx.xx.47

只需要修改Host的值

(注意一点:看图片右上角,目标服务器是https,所以攻击者的服务器47.xx.xx.47也需要事先启一个https的服务器)

 放行数据包

3. 电话/邮件/短信等社工受害者

随便举个栗子:

“为了保障账号的安全,请及时定期修改密码,系统已为您发送重置链接,请及时查看邮箱查收”

受害者打开邮箱

 可以发现,这里收到的链接,是47.xx.xx.47

(上一步骤中攻击者自定义的Host值)

点击重置密码链接

此时受害者可能一脸蒙b

因为返回的是攻击者服务器的内容

会引起怀疑?没关系,我们已经拿到了Token

5. 攻击者查看47.xx.xx.47服务器

我使用的是python3 快速启动一个简易的https服务器

(你们可以试试python3启https)

成功获取到了重置密码链接的Token值

6. 攻击者拼接原始IP/域名为正确重置密码链接🔗

https://10.10.20.153****/reset\_password/Ik4xMHRoIg.Xyqm4xxxxxxxxxxxxxxxxxxx

访问URL

攻击者填写任意的新密码

图:重置密码页面

点击发送,即可成功重置用户密码

至此,完成账户入侵!

希望有用

————————————————————

以下内容明天再继续!

0x02 **畸形Host—**服务端缓存中毒

虽然漏洞超简单,而且评级只是中危

不过后来,用这个攻击方式

在一次秘密众测中,发现目标范围存在一大堆此类缺陷

获得了*K的赏金,也算是一个小惊喜~

闹了个乌龙

最开始误以为是F5设备的问题,

就简单写了一个英文的paper报送给官方

后来发现貌似并不是哈哈

打算明天再更

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2