我是如何入侵Facebook: 第一部分

lock丶念拥
2020-12-20 / 0 评论 / 23 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2021年01月08日,已超过99天没有更新,若内容或图片失效,请留言反馈。

我如何入侵Facebook: 第一部分

自三月份以来,我就一直处在疫情中。自从疫情开始,我有大量空闲的时间,为了明智地利用这段时间,所以我决定去获得OSWE的认证,并在8月8号完成了这个考试。之后,我花了几个星期从考试中恢复过来。在9月份中旬,我说你知道吗? 我没有像每年一样在2020的FaceBook名人堂中注册自己的名字。好吧,让我们开始吧

​ . . .

我从来没有在Facebook的任何子域中找到过一个漏洞,我看一些wp和其中有一篇非常好的针对Facebook某个子域的wp吸引了我所有的注意,你可以点击查阅它:[HTML to PDF converter bug leads to RCE in Facebook server.]

因此在阅读完这篇文章后,我对在如此庞大的web应用程序中能找到多少个漏洞有了很好的理解。

所以我的主要目标是 https://legal.tapprd.thefacebook.com,目的则是找到达到RCE或者类似的效果的漏洞。

我运行了一些fuzzing的工具,只是为了获取该web app的完整端点。我花了2个小时去小睡和看一部电影,然后我回头看看结果,okay, 我得到了一些不错的结果

发现一些返回403的目录:

Dirs found with a 403 response:
/tapprd/
/tapprd/content/
/tapprd/services/
/tapprd/Content/
/tapprd/api/
/tapprd/Services/
/tapprd/temp/
/tapprd/logs/
/tapprd/logs/portal/
/tapprd/logs/api/
/tapprd/certificates/
/tapprd/logs/auth/
/tapprd/logs/Portal/
/tapprd/API/
/tapprd/webroot/
/tapprd/logs/API/
/tapprd/certificates/sso/
/tapprd/callback/
/tapprd/logs/callback/
/tapprd/Webroot/
/tapprd/certificates/dkim/
/tapprd/SERVICES/

好的,我认为这个结果足以支持我先前对于这个应用程序有多大的理论,然后我开始阅读js文件,用以了解网站的工作方式,和其使用的方法..等等

我注意到一种绕过重定向登录到SSO的方法,即https://legal.tapprd.thefacebook.com/tapprd/portal/authentication/login,在分析该登录页面后,我注意到了下面这个端点。

/ tapprd / auth / identity / user / forgotpassword

在用户端进行一些模糊的fuzz之后,我注意到了另一个端点-/savepassword,它期待POST的请求方式。在读取了js文件后,我知道了这个页面如何工作,这里应该有生成的令牌和xsrf的令牌等等.最初想到的主意是,让我们对其进行测试,看看是否可行,我尝试使用burp手工进行修改,但出现了错误,错误信息是执行此操作失败。

我说好家伙,这可能是因为电子邮箱有误或者其他原因? 让我们获取管理员的电子邮箱,然后我开始将随机电子邮件放入列表中去制作字典,然后我使用intruder,然后说让我们看看会发生什么。

几个小时后我回来了,我得到了了相同的错误结果以及另一个结果,这是一个302跳转到登录页面,我说,哇,如果这样是有效的,我真的该死,哈哈。

因此,让我们回过头来看看我在这里做了什么,我用intruder发送了随机的带有CSRF令牌和随机带有新密码的邮箱的请求到savepassword这个端点。

结果之一是302重定向:

现在,我进入登录页面,填入登录电子邮件和新密码,BOOM,我成功登录进了这个应用程序,并且我能够进入管理面板:)

我阅读了之前使用PDF进行RCE的黑客报告,他们只给了他1000美元作为奖励,所以我说好,让我们在这里取得更大的影响并进行一次完美的利用。

我编写了一个快速简单的python脚本利用此漏洞,你输入电子邮件和新密码,脚本将更改其密码。

这里的影响之所以如此之大,是因为Facebook的员工曾经使用其工作账号进行过登录,这就意味他们正在使用其Fackbook的账户访问令牌,并且如果其他攻击者想要利用此身份,则可能会使他能够访问某些Facebook的工作账户等等

然后,我报告了该漏洞,并对报告进行了分类。

在10月2号,我收到了7500美元的赏金。

(ps.密码重置的API是对任何人开放的,没有验证,相当于未授权访问一个端点吧。然后影响也只是tapprd这个产品。)

我非常享受利用这个漏洞的过程,因此我觉得还是意犹未尽的,这是一个没啥技术含量的脚本! 让我们挖掘到越来越多漏洞吧。

同时,我在同一应用程序发现了另外两个漏洞,但是我们将在第二部分中讨论其他漏洞:)

你可以在我的网站上阅读这个 write-up:https://alaa.blog/2020/12/how-i-hacked-facebook-part-one/

你也可以在twitter上关注我:https://twitter.com/alaa0x2

本文为翻译文章,原文链接:https://alaa0x2.medium.com/how-i-hacked-facebook-part-one-282bbb125a5d

0

评论 (0)

取消