Hello there, ('ω')ノ
政府の e ラーニング Web サイトにハッキングした方法を。
脆弱性:
IDOR
アカウント乗っ取り
記事:
https://infosecwriteups.com/how-i-hacked-into-a-government-e-learning-website-ce8da8fb4ccc
今回は、父から政府の e ラーニング Web サイトにログインして。
いくつかのタスクを完了するように言われ。
すべての教師は 2 日以内に完了する必要があるため。
父のアカウントにログインしてタスクを完了して。
その後、父の友人もタスクを完了したいので。
電子メール ID とパスワードを教えてくれて。
資格情報でログインしようとしましたが。
「正しい資格情報を入力してください」と表示されたので。
資格情報が正しいかどうかを尋ねて。
そして彼は、自分がアカウントを作成したのではなく。
他の誰かが間違った情報で彼のためにアカウントを作成したと言って。
だからアカウントにログインする方法を見つけなければならず。
目標:
政府の e ラーニング Web サイトにログインし、タスクを完了する
父親の友人からの詳細:
email id - ######@gmail.com
password - ###### (wrong)
mobile no- ######## (wrong)
UDISE Code- #########
試行 -1
ログイン:
指定された電子メール ID とパスワードでログインしようとすると。
UI に「正しい資格情報を入力してください」と表示されて。
Burp Suite の応答に「ユーザが見つかりません」と表示され。
メール ID とパスワードの両方が間違っていると思われたため。
この試みは失敗して。
試行 -2
パスワードのリセット:
そのため、パスワードをリセットしようとしましたが。
メール ID ではなく携帯電話番号を尋ねられ、携帯電話番号を入力すると。
UI に「おっと何か問題が発生しました」と表示され。
Burp Suiteの応答に「ユーザが見つかりません」と表示されるため。
携帯電話番号も正しくないため、この試行も失敗して。
試行 -3
登録:
UDISE コード (アカウントを登録するために学校に与えられるコード) を要求し。
コードを入力すると、UI に「指定された学校に別の教師が既に登録されている」と。
表示され。
幸いなことに、彼らは正しいコードを提供していて。
Burp Suite の応答には、電子メール、ユーザ ID、携帯電話番号などの。
完全な詳細が表示され。
この試行 -3から、メール、携帯電話番号、ユーザー ID などの。
有用な情報が得られ。
この携帯番号で 試行 -2 (パスワードリセット) を試みたところ。
OTP は正常に送信され。
父の友人に OTP を取得したかどうかを尋ねたところ。
OTP を取得していないとのことでしたので。
その携帯番号が属しているのかどうかを尋ねて。
あなたに彼は、それは彼の番号ではなく、他の誰かの番号だと言ったので。
したがって、ここでの唯一の方法は、不明な番号に電話して。
OTP を要求することですが、実際には不可能で。
試行 -4
あるアイデアが頭に浮かんだので、父の有効な資格情報でログインし。
機能がないか確認したり、パスワードの変更を要求したりして。
幸いなことに、有効なユーザ ID のみを必要とし。
古いパスワードをチェックしないパスワード リセット リクエストを見つけて。
試行 -3から、既にユーザ ID を取得しているのでパスワードを正常に変更して。
注:
パスワードのエンコードに使用される暗号化を誰かが知っている場合は。
以下にコメントするように。
目標達成:
最後に、アカウントにログインしてタスクを完了して。
このプロセス中に見つかったバグ:
IDOR — 誰のパスワードも変更可能
(クリティカル)
IDOR — id 値を変更するだけで他の教師の P1 情報を見ることができる
(クリティカル)
IDOR — id 値を変更するだけで他の学生の P1 情報を見ることができる
(クリティカル)
Best regards, (^^ゞ