自三月份以来,我就一直处在疫情中。自从疫情开始,我有大量空闲的时间,为了明智地利用这段时间,所以我决定去获得OSWE的认证,并在8月8号完成了这个考试。之后,我花了几个星期从考试中恢复过来。在9月份中旬,我说你知道吗? 我没有像每年一样在2020的FaceBook名人堂中注册自己的名字。好吧,让我们开始吧
. . .
我从来没有在Facebook的任何子域中找到过一个漏洞,我看一些wp和其中有一篇非常好的针对Facebook某个子域的wp吸引了我所有的注意,你可以点击查阅它:[HTML to PDF converter bug leads to RCE in Facebook server.]
因此在阅读完这篇文章后,我对在如此庞大的web应用程序中能找到多少个漏洞有了很好的理解。
所以我的主要目标是 https://legal.tapprd.thefacebook.com,目的则是找到达到RCE或者类似的效果的漏洞。
我运行了一些fuzzing的工具,只是为了获取该web app的完整端点。我花了2个小时去小睡和看一部电影,然后我回头看看结果,okay, 我得到了一些不错的结果
发现一些返回403的目录:
Dirs found with a 403 response:
/tapprd/
/tapprd/content/
/tapprd/services/
/tapprd/Content/
/tapprd/api/
/tapprd/Services/
/tapprd/temp/
/tapprd/logs/
/tapprd/logs/portal/
/tapprd/logs/api/
/tapprd/certificates/
/tapprd/logs/auth/
/tapprd/logs/Portal/
/tapprd/API/
/tapprd/webroot/
/tapprd/logs/API/
/tapprd/certificates/sso/
/tapprd/callback/
/tapprd/logs/callback/
/tapprd/Webroot/
/tapprd/certificates/dkim/
/tapprd/SERVICES/
好的,我认为这个结果足以支持我先前对于这个应用程序有多大的理论,然后我开始阅读js文件,用以了解网站的工作方式,和其使用的方法..等等
我注意到一种绕过重定向登录到SSO的方法,即https://legal.tapprd.thefacebook.com/tapprd/portal/authentication/login,在分析该登录页面后,我注意到了下面这个端点。
/ tapprd / auth / identity / user / forgotpassword
在用户端进行一些模糊的fuzz之后,我注意到了另一个端点-/savepassword,它期待POST的请求方式。在读取了js文件后,我知道了这个页面如何工作,这里应该有生成的令牌和xsrf的令牌等等.最初想到的主意是,让我们对其进行测试,看看是否可行,我尝试使用burp手工进行修改,但出现了错误,错误信息是执行此操作失败。
我说好家伙,这可能是因为电子邮箱有误或者其他原因? 让我们获取管理员的电子邮箱,然后我开始将随机电子邮件放入列表中去制作字典,然后我使用intruder,然后说让我们看看会发生什么。
几个小时后我回来了,我得到了了相同的错误结果以及另一个结果,这是一个302跳转到登录页面,我说,哇,如果这样是有效的,我真的该死,哈哈。
因此,让我们回过头来看看我在这里做了什么,我用intruder发送了随机的带有CSRF令牌和随机带有新密码的邮箱的请求到savepassword这个端点。
结果之一是302重定向:
现在,我进入登录页面,填入登录电子邮件和新密码,BOOM,我成功登录进了这个应用程序,并且我能够进入管理面板:)
我阅读了之前使用PDF进行RCE的黑客报告,他们只给了他1000美元作为奖励,所以我说好,让我们在这里取得更大的影响并进行一次完美的利用。
我编写了一个快速简单的python脚本利用此漏洞,你输入电子邮件和新密码,脚本将更改其密码。
这里的影响之所以如此之大,是因为Facebook的员工曾经使用其工作账号进行过登录,这就意味他们正在使用其Fackbook的账户访问令牌,并且如果其他攻击者想要利用此身份,则可能会使他能够访问某些Facebook的工作账户等等
然后,我报告了该漏洞,并对报告进行了分类。
在10月2号,我收到了7500美元的赏金。
(ps.密码重置的API是对任何人开放的,没有验证,相当于未授权访问一个端点吧。然后影响也只是tapprd这个产品。)
我非常享受利用这个漏洞的过程,因此我觉得还是意犹未尽的,这是一个没啥技术含量的脚本! 让我们挖掘到越来越多漏洞吧。
同时,我在同一应用程序发现了另外两个漏洞,但是我们将在第二部分中讨论其他漏洞:)
你可以在我的网站上阅读这个 write-up:https://alaa.blog/2020/12/how-i-hacked-facebook-part-one/
你也可以在twitter上关注我:https://twitter.com/alaa0x2
本文为翻译文章,原文链接:https://alaa0x2.medium.com/how-i-hacked-facebook-part-one-282bbb125a5d