漏洞復盤——從TENX賬戶竊取用戶資金與虛擬貨幣

我能夠繞過TenX登錄系統的次數限制，這使得我可以在30分鐘內接管每個TenX賬戶（了解受害者的電子郵件地址後）。接管帳戶後，由於缺少驗證功能，TenX允許攻擊者更改電子郵件地址（本文編寫時仍然如此）以及帳戶的綁定電話號碼（通過Web應用程序）。此外，如果賬戶缺少額外的驗證步驟，攻擊者可以轉出受影響賬戶的所有資金。

TenX是什麼？

TenX是一家總部位於新加坡的公司，提供加密借記卡和加密貨幣錢包。在2017年，他們進行了當時最大的ICO，獲得了超過8千萬美元。

TenX鼓勵安全研究人員使用可以負責任披露相關內容的漏洞獎勵計劃提交漏洞。

任意用戶密碼重置漏洞

在2017年11月底，我發現了他們的網站並註冊了他們的服務。他們要求用戶提供電子郵件地址和電話號碼。我很驚訝，在註冊時不需要設置密碼 - 他們只通過一個隨機碼提供認證。

注意：TenX現在支持用戶自定義的密碼！

驗證碼通過簡訊或電子郵件發送給用戶。隨機驗證碼是一個6位數字，似乎有效期為30分鐘。

下面的屏幕截圖顯示了通過電子郵件發送驗證碼的示例：

以下屏幕截圖顯示了用於檢查在網頁上是否輸入了正確驗證碼的API請求：

以下屏幕截圖顯示了對上述請求的響應：

下面的屏幕截圖是通過提交驗證碼測試，我們發現在提交第7次之後，伺服器會停止響應， 那麼也就意味著有限制。

我嘗試的第一件事是更改我的源IP地址。我使用了VPN連接並重新提交了上面的請求。我驚訝的發現請求已經過去了，而且「X-RateLimit-Remaining」響應頭被重新設置為6.

那麼，我可以通過改變源IP來繞過次數限制保護。

我繼續進行測試，並開始嘗試不同的請求頭。「X-Forwarded-For」通常用於標識通過負載平衡器或代理連接到Web伺服器的用戶的始發IP地址。經過測試，我發現，TenX實際上解釋了「X-Forwarded-For」是可以利用的。

這意味著我能夠通過僅使用一個源IP繞過TenX的速率限制保護。

我創建了一個公共源IP列表，並將它們提供給Burp Intruder。

我們假設，我們能夠在30分鐘內嘗試500000次後找到正確的隨機密碼。500000 / 30/60 = 280。這意味著如果我們每秒能夠測試280個組合，大約30分鐘就能找到正確的隨機密碼。但是我家網路並不是很好，所以我每秒只能處理大約70-100個請求。

保持被暴力破解賬戶的控制權

TenX用戶登錄帳戶後，可以更改電子郵件地址以及電話號碼（需通過TenX的Web應用程序）。在這一點上，我原本想去構建虛假的驗證，比如給老地址發送確認電子郵件。不過，並沒有這樣的事情......

確認電子郵箱地址的郵件只發送到新地址，而不是舊郵箱。更改電話號碼時也會發生同樣的情況。

這使得攻擊者可以將受害者完全鎖定在他/她的賬戶之外，並在接管賬戶後維持對其的控制。

竊取BTC和ETH

攻擊者可以完全控制受害者帳戶。即使受害者注意到他/她的帳戶遭到黑客入侵，也需要數小時才能聯繫到TenX的支持人員。那麼，受害者的資金呢？即使在將BTC發送到另一個錢包地址之前，需要驗證郵件地址，這也不是問題，因為電子郵件地址已經更改為攻擊者控制的那個了。

我提交了三種不同的漏洞：

·遠程帳戶接管漏洞

·更改電子郵件地址和/或電話號碼時缺少驗證

·撤資時沒有額外的安全機制

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！