Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Zdemolował system używany przez dział prawny Facebooka + mógł grzebać po sieci wewnętrznej. Nagroda: ~200 000 PLN

19 marca 2021, 22:24 | Aktualności | komentarzy 6

Ostra seria podatności tutaj. Na celowniku tym razem był jeden z systemów legal – w domenie thefacebook.com. Dokładnie rzecz biorąc – ten system.

Zaczęło się od zlokalizowania ciasteczka o nazwie .ASPXAUTH

Jest to ciastko sesyjne, ale jakby tu dostać się na admina? Badacz miał nosa do tego typu przypadku (doświadczenia z innych programów bug bounty). Otóż założył, że jeśli jakaś inna aplikacja w internecie korzysta z tego samego oprogramowania co Facebook, być może korzysta też z tego samego, domyślnego klucza kryptograficznego do zaszyfrowania ciastka.

Bingo. Zarejestrował w tej zewnętrznej (publicznie dostępnej) aplikacji konto o takiej samej nazwie jak admin w aplikacji facebookowej.

Do zaszyfrowania ciastka został użyty login oraz właśnie domyślny klucz kryptograficzny = … jest ADMIN! :)

Dalej, po uzyskaniu dostępu na admina badacz zlokalizował podatność SSRF, która umożliwiała mu wykonywanie żądań HTTP do środka sieci Facebooka (+ czasem odczytywanie stamtąd danych). Podpytał ekipę z FB czy może wyeksploitować tę lukę. Dostał zielone światło i wyciągnął w ramach PoC pewne dane z domeny our.intern.facebook.com:

Badacz otrzymał od Facebooka kwotę: $40000 oraz $2000 bonusa (całość w ramach bug bounty).

„Ale, zaraz zaraz” – napisał badacz do ekipy FB – „przecież za pokazanie SSRF-a, który będzie używał dowolnej metody HTTP oraz dowolnego content-type przewidzieliście jeszcze bonus $5000 – gdzie moje piniondze?!? ;-))”

Facebook odpisał grzecznie – racja, tutaj dodatkowe $5000 – w sumie $47000.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Nie da sie przeczytac
    Odpowiedz
    • Odpowiedz
    • Imagus

      Zainstaluj sobie dodatek Imagus – po najechaniu myszą obrazek sie powiekszy

      Odpowiedz
      • do Imagusa

        Dzieki, ale moze nie zwrociles uwagi, co napisalem.
        On nawet po powiekszeniu nie byl czytelny.

        Odpowiedz
  2. TZ

    A skąd wiedział, jak nazywa się konto admina?:)

    Odpowiedz

Odpowiedz