اولین رایتاپ کشف OTP Brute Force از یک هلدینگ فروش محصولات آنلاین که به دلیل ایرانی بودن تارگت آدرس تارگت رو target.com در نظر میگیریم.
از طریق یه پست توی سرچ گوگل وارد وبسایت شدم و روی ثبت خرید کلیک کردم که نیاز به اکانت داشت و دو راه برای ساخت اکانت بود : 1- ایمیل 2- شماره تماس
بعد از ثبت نام با شماره تماس متوجه شدم که یوزرنیم به صورت دیفالت شماره تلفن قرار میگیره و اگه توی قسمت کامنت پست، کامنتی بزاریم شماره تلفنمون رو نشون میده و همچنین کسایی که با ایمیل ثبت نام کرده بودن ایمیلشون به جای یوزنیم نمایشی وبسایت نشون میداد.
برای لاگین کردن با ایمیل یک لینک حاوی توکن بدون اینکه نیازی به پسورد باشه ایمیل میشد و میتونستیم لاگین کنیم. همچنین برای ورود با شماره تلفن یک کد OTP ارسال میشد.
بعد از بررسی درخواست OTP متوجه یک فایل admin-ajax.php شدم که به اون درخواست ارسال میشد و جواب رو به ما بر میگردوند که هیچ لیمیتی نداشت
از اونجایی که کد OTP چهار رقمی بود با یه اسکریپت ساده پایتون اومدم کد رو تولید کردم:
و بعد با یه اسکریپت ساده پایتون با کتابخونه requests اومدم عملیات بروت فورس رو انجام دادم ( پ ن : اسکریپت بدون مولتی ترد خیلی طول میکشه بهتره از مولتی ترد استفاده بشه یا اینکه از burp intruder ام میتونیم استفاده کنیم
با پابلیک بودن شماره های کاربرا و همینطور اعضای شرکت، به اکانت همه اون افراد میشد دسترسی گرفت.
بعد از گزارش باگ برخورد محترمانه ای داشتن و خیلی استقبال کردن اما پلنی برای بانتی نداشتن و یه کد تخفیف 20% ای برای خرید از محصولاتشون ارسال کردن
