OAuth account hijacking via redirect_uri

Link: https://portswigger.net/web-security/oauth/lab-oauth-account-hijacking-via-redirect-uri

Description:

This lab uses an OAuth service to allow users to log in with their social media account. A misconfiguration by the OAuth provider makes it possible for an attacker to steal authorization codes associated with other users' accounts.

To solve the lab, steal an authorization code associated with the admin user, then use it to access their account and delete the user carlos.

The admin user will open anything you send from the exploit server and they always have an active session with the OAuth service.

You can log in with your own social media account using the following credentials: wiener:peter.

Preparation:

  • Install Cookie-Editor extension browser

Proof of concept:

  1. Analisa web target menggunakan akun testing

  2. Terlihat pada proses OAuth authentication menggunakan 2 endpoint yaitu endpoint /auth dan /oauth-callback . Yang dimana pada endpoint /auth terdapat parameter redirect_uri yang digunakan untuk mengarahkan pengguna ke endpoint /oauth-callback . Sedangkan endpoint /oauth-callback tersebut digunakan untuk menggenarate code melalui parameter code yang digunakan untuk membuat session

  3. Dari hasil analisa, didapati bahwa pada endpoint /auth nilai pada parameter redirect_uri dapat diubah. Sebagai contoh disini nilai pada parameter tersebut diubah menjadi domain attacker, dan berhasil diubah dengan ditandai pada response diarahkan ke domain target

  4. Setelah diketahui bahwa nilai parameter redirect_uripada endpoint /auth dapat diubah. Buat script iframe untuk mengelabui korban agar korban mengakses script malicious tersebut yang diarahkan ke domain target untuk mengambil code pada endpoint /oauth-callback di domain penyerang. Script iframe yang digunakan terlihat seperti gambar dibawah ini

  5. Jika sudah kirim script tersebut agar diakses korban. Jika korban telah mengaksesnya, maka penyerang akan mendapatkan code pada endpoint /oauth-callback

  6. Hit endpoint /oauth-callback pada domain web target (domain asli) untuk mendapatkan session

  7. Setelah mendapatkan session yang diambil dari response yang diberikan pada request sebelumnya, copy nilai session tersebut kemudian buka ekstension browser Cookie-Editor pada halaman target. Ubah nilai session dari akun testing, menjadi nilai session milik akun korban. Jika sudah, simpan perubahan tersebut

  8. Lakukan refresh pada halaman target, dan terlihat akun telah berubah menjadi akun admin ditandai dengan adanya halaman Admin panel

  9. Untuk menyelesaikan tantangan pada lab ini, lakukan penghapusan user carlos

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousOAuth AuthenticationNextAccess Control Vulnerabilities

Last updated