Descripción
This lab’s two-factor authentication can be bypassed. You have already obtained a valid username and password, but do not have access to the user’s 2FA verification code. To solve the lab, access Carlos’s account page.
- Your credentials:
wiener:peter - Victim’s credentials
carlos:montoya
2FA simple bypass writeup
Al entrar veremos un blog. Iremos a ‘My account’ e iniciaremos sesión con el usuario ‘carlos’ y la contraseña ‘montoya’. Cuando nos pida el código de verificación cambiaremos la URL de ‘/login2’ a ‘/my-account’, completando así el laboratorio:
Esto se debe a que la aplicación no comprueba si verdaderamente se ha introducido el código, realiza el inicio de sesión antes, por lo que permite acceder al resto de la web sin necesidad de introducir el código.