Atacar portales de inicio de sesión web: cómo pirateé más de 600 cuentas

Atacar portales de inicio de sesión web: cómo pirateé más de 600 cuentas - Codelivly

 

Hoy quiero ver la metodología al atacar portales de inicio de sesión web. Veo muchas publicaciones sobre diferentes vulnerabilidades en los programas, pero muy pocas personas hablan sobre este tema. Por supuesto, eso tiene sentido, porque sin credenciales válidas, hay muy poca funcionalidad para explotar. Por la misma razón, estos portales suelen estar mal protegidos.

Hay algunas vulnerabilidades/configuraciones incorrectas que le otorgarán buenas recompensas por errores o descubrimientos durante un compromiso, como:

  1. Credenciales predeterminadas
  2. enumeración de nombre de usuario
  3. Mecanismo de bloqueo débil

Entonces, profundicemos en cada uno de ellos y veamos cómo puede ganar dinero.

Índice
  1. 1. Credenciales predeterminadas
  2. 2. Enumeración de nombre de usuario
  3. 3. Mecanismo de bloqueo débil

1. Credenciales predeterminadas

Las configuraciones incorrectas con las credenciales predeterminadas se pueden ver en todas partes y esto suele ser una vulnerabilidad alta o crítica según el acceso que le brinde. La metodología detrás de esto es muy simple: primero debe encontrar las credenciales predeterminadas para la aplicación que está probando. Luego busque todos los portales de inicio de sesión, donde puede usar esas credenciales.

Debido a que ya tengo un tema sobre esto, no iré demasiado lejos y, en su lugar, le daré algunas lecturas potenciales para mostrarle que realmente funciona:

Hay muchos otros informes que se han filtrado sobre el tema, pero creo que estos son suficientes para comenzar. vamos a la siguiente

2. Enumeración de nombre de usuario

La idea aquí es verificar si es posible recopilar un conjunto de credenciales válidas interactuando con el mecanismo de autenticación de la aplicación.

La metodología es intentar iniciar sesión o restablecer su contraseña con un correo electrónico no válido, luego probar un correo electrónico posiblemente válido (buscar correos electrónicos a través de OSINT o registrar una cuenta) y ver la respuesta del sitio web.

Así es como se verá una página vulnerable:

  1. Use un correo electrónico incorrecto (por ejemplo, a@aa) y verifique la respuesta

2. Utiliza un correo electrónico válido y comprueba la respuesta.

Como puede ver en el ejemplo anterior, restablecer la contraseña nos permite enumerar los usuarios. Si tiene dudas de que esto tenga un impacto, consulte algunos informes:

Ahora un ataque un poco más interesante.

3. Mecanismo de bloqueo débil

Qué es ?

Los mecanismos de bloqueo de cuentas se utilizan para mitigar la difusión de contraseñas o los ataques de fuerza bruta. Las cuentas generalmente se bloquean después de 3 a 5 intentos de inicio de sesión fallidos y solo se pueden desbloquear después de un período de tiempo predeterminado, a través de un mecanismo de desbloqueo de autoservicio o la intervención del administrador.

¿Cómo probarlo?

Tengo una metodología muy simple, que es la siguiente:

  • Encuentre nombres de usuario y contraseñas válidos (a través de bases de datos de brechas)
  • Intente enumerar los nombres de usuario existentes (si es posible)
  • Prueba un ataque de fuerza bruta
  • Pruebe un ataque de relleno de credenciales y rociado de contraseñas

Entonces, comencemos a mirar cada uno de ellos y veamos cómo puedes hacer todo esto también.

Búsqueda de nombres de usuario y contraseñas válidos

  1. [FREE] Use Breach Parse para encontrar credenciales de texto sin formato: https://github.com/hmaverickadams/breach-parse
  2. [BEST] Use Leak Peek para encontrar las últimas credenciales de texto sin formato (para un subdominio): https://leakpeek.com/
  3. Igual que Leak Peek, pero un poco más caro: https://www.dehashed.com/

Todos los recursos anteriores funcionan de la misma manera. digamos que atacas ejemplo.com y tiene un portal de inicio de sesión en ejemplo.com/login. Puede intentar enumerar todos los correos electrónicos del dominio @example.com que se han violado en el pasado.

NÓTESE BIEN: asegúrese de que solo utiliza los datos que recopila con fines de piratería ética y que su programa de recompensas por errores o compromiso de prueba de penetración permite este vector de ataque

También sepa que puede buscar por nombre de usuario, correo electrónico, contraseña y más.

Enumeración de nombre de usuario

Esto ya ha sido explicado en punto 2 (enumeración de nombre de usuario) — la idea es ver si los correos electrónicos/nombres de usuario que recopilaste son válidos. Sin embargo, esto no siempre es posible y es posible que tengamos que atacar de todos modos.

Lanzar un ataque de fuerza bruta

Solo haría esto si estoy seguro de que la aplicación web lo permite.

A continuación se muestra un ejemplo que muestra que la aplicación web deshabilitará nuestro inicio de sesión si intentamos adivinar la contraseña más de 3 veces.

Sin embargo, si veo que la contraseña no está deshabilitada, generalmente haría atacar cada correo electrónico/nombre de usuario con el mio lista de palabras:

https://github.com/ViktorMares/rockyou_strong_passwords

Por supuesto, si no está seguro de los requisitos de la contraseña, puede usar la lista de palabras normal de rockyou.txt: https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt

Relleno de Credenciales y Rociado de Contraseñas

Finalmente, llegamos a los ataques más exitosos, que son los ataques Credential Stuffing y Password Spraying.

¿Qué es el relleno de credenciales? Recuerde, ¿cómo podríamos usar el análisis de infracciones o el análisis de fugas para obtener credenciales de texto sin formato válidas (nombre de usuario y contraseña) de nuestros objetivos? Bueno, el relleno de credenciales es el proceso de usar todas esas credenciales en un portal de inicio de sesión.

¿Qué es el rociado de contraseñas? Bueno, el aerosol de contraseña es un poco diferente. La idea aquí es utilizar todos estos correos electrónicos o nombres de usuario recopilados y atacarlos a todos con la misma contraseña. Digamos que recopilamos 50 correos electrónicos de una empresa. Luego encontramos un portal de inicio de sesión y atacamos cada uno de estos correos electrónicos con una contraseña incorrecta conocida (como P@ssw0rd o Summer2022! y otros).

A continuación se muestra un muy buen video al respecto, de The Cyber ​​​​Mentor (de TCM Academy) que básicamente explica y muestra todo el concepto de este ataque.

Relleno de Credenciales y Rociado de Contraseñas: https://youtu.be/sH4JCwjybGs?t=11222

Y aquí hay algunos informes que pueden ayudarlo a comprender mejor estos ataques:

Espero haber podido mostrarle algo interesante y útil para sus futuros compromisos en programas de recompensas por errores y pruebas de penetración.

Si quieres conocer otros artículos parecidos a Atacar portales de inicio de sesión web: cómo pirateé más de 600 cuentas puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas