实验室:Oauth帐户通过Redirect_uri劫持
从业者
这个实验室使用Oauth服务以允许用户登录其社交媒体帐户。OAuth提供商的错误配置使攻击者可以窃取与其他用户帐户相关的授权代码。
要解决实验室,请窃取与管理员用户关联的授权代码,然后使用它访问其帐户并删除Carlos。
管理员用户将打开您从Exploit服务器发送的任何内容,并且他们始终与OAuth服务进行活动。
您可以使用以下凭据使用自己的社交媒体帐户登录:维纳:彼得
。
解决方案
- 在通过Burp代理流量的同时,单击“我的帐户”并完成OAuth登录过程。之后,您将重定向返回博客网站。beplay体育能用吗
- 登录,然后再次登录。观察您这次立即登录。由于您仍然与OAuth服务进行了积极的会话,因此您无需再次输入凭据即可身份验证自己。
- 在Burp中,研究代理历史中的OAuth流量并确定最新授权请求。这应该从
获取 /auth?client_id = [...]
。请注意,当发送此请求时,您会立即重定向到redirect_uri
以及查询字符串中的授权代码。将此授权请求发送给Burp Repeater。
- 在Burp Repeater中,观察您可以提交任何任意价值作为
redirect_uri
没有遇到错误。请注意,您的输入用于生成响应中的重定向。
- 更改
redirect_uri
要指向利用服务器,请发送请求并关注重定向。转到Exploit Server的访问日志,并观察到包含授权代码的日志条目。这确认您可以将授权代码泄漏到外部域。
返回到利用服务器并创建以下内容iframe
在/开发
:
- 存储漏洞利用,然后单击“查看漏洞利用”。检查你的
iframe
加载,然后检查利用服务器的访问日志。如果一切正常工作,则应看到带有泄漏代码的另一个请求。
- 将漏洞利用交付给受害者,然后返回访问日志,然后从最终的请求中复制受害者的代码。
注销博客网站,然后使用被盗代码导航到:beplay体育能用吗
https://your-lab-id.beplay体育能用吗web-security-academy.net/oauth-callback?code=stolen-code
其余的OAuth流将自动完成,您将以管理用户的身份登录。打开管理面板并删除Carlos以解决实验室。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)