挖洞经验 | 价值$10000的Facebook SSRF漏洞

访客4年前黑客工具1084

在该Writeup中,作者通过子域名枚举、文件枚举和代码审计方式,成功构造了有效的服务端请求,实现了Facebook某网站的SSRF(服务端请求伪造),可通过该方式探测收集Facebook网站内部信息,漏洞收获了Facebook官方奖励的$10000。以下是作者的漏洞发现过程,非常简单。

子域名枚举

通过对Facebook网站大量的子域名测试枚举,我发现了其中一个子域名网站-phishme.thefacebook.com,它的主页响应为403:

在我的另一篇漏洞Writeup中,我就曾通过这种403响应发现了Facebook的一个高危漏洞-? Story of a weird vulnerability I found on Facebook ?。

*** 脚本文件枚举

在此,我通过一个通用的字典库,针对https://phishme.thefacebook.com/**.js做了 *** 文件枚举,发现了一个隐藏的 *** 文件-https://phishme.thefacebook.com/Home.js。

对Home.js的代码审查

阅读了Home.js的代码流程之后,我发现了其中一个有意思的 *** 函数? sendPhishRequest ? ,它针对某些特定链接使用XHR方式请求数据。经深入分析,我了解了其具体的函数运行机制:

Util.sendPhishRequest(‘PhishGetItemData.ashx’, { itemId: itemId, ewsUrl: ewsUrl, token: token }

漏洞利用

经过一番token格式尝试,最终我成功利用上述sendPhishRequest *** ,构造了发往Facebook服务端的有效请求。具体参数如下:

itemId: 123
ewsUrl: http://127.0.0.1:PORT
token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg

POC:

https://phishme.thefacebook.com/PhishGetItemData.ashx?itemId=123&ewsUrl=http://127.0.0.1:PORT/&token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg


该请求让Facebook服务端抛出了一个405不被允许的响应,而在响应中又以stack-traces栈跟踪方式返回了服务端内部的调试信息。如此这般,通过变换请求中的端口、参数等属性,可探测收集Facebook服务端的内部配置信息,威胁Facebook服务端安全。

漏洞上报和处理进程

2020.8.7 ? ?漏洞上报
2020.8.11 ?漏洞分类
2020.8.11 ?发布漏洞补丁
2020.12.3 ?漏洞修复完成
2020.12.3 ?Facebook奖励$10000

参考来源:medium,编译整理:clouds,转载请注明来自Freebuf.com

相关文章

黑客盗微信号的教程,盗微信密码软件下载神器

每日要闻怎么能够知道自己的微信号和密码 我微信密码忘了,怎么查找密码? 微信聊天记录怎么 恢复?现在,微信 已经成为了我们生 活和工作中的小帮手,不论是日常的聊 天,语音/视频通话,还是资料的传输...

吃糖瓜、祭灶神……小年如何过出仪式感?

中新网客户端北京1月17日电(记者 上官云) “二十三日过小年,差不多就是过新年的‘彩排’。”著名作家老舍在《北京的春节》中,曾记录过一系列有关春节的民俗,其中就提到了小年,字里行间透出了浓浓的年味儿...

别人用我微信转钱删记录_老婆聊完微信就删记录

商城系统排名(网上商城系统排名介绍)随着互联网电商的日益发展,它已经和经济发展、人们的生活息息相关。如今,淘宝、京东、拼多多等电商平台不断活跃,从“双11”面世至今,各类电商促销节日涌现。电子商务在我...

内幕交易案例(内部知情人亲属买股票处罚)

内幕交易案例(内部知情人亲属买股票处罚) 浙江证监局披露的信息显示,有人利用从同学处获得的消息进行内幕交易,这样的事情该局一次就查处了两起,一起是从大学同学那里获取内幕信息,另一起则是从高中同学那里...

找黑客攻击传奇私服,重金找黑客,华夏黑客联盟网站模板

2019.2.4因为在以上这些体系中,生成的密钥对和密钥容器都会被存储在内存中。 所以勒索病毒会额定清空一下内存中的密钥容器内容和密钥对,防止在内存中找到密钥对然后康复被加密的文件。 MuddyWat...

海尔兄弟为什么只穿内裤(是什么原因海尔兄弟

海尔兄弟为什么只穿内裤(是什么原因海尔兄弟

有一次,我去海尔集团面试,考官问我:“为什么海尔兄弟只穿内裤?”我的答案把他们全怔住了,我答:“因为他们没有Q币”。 去洗桑拿,给我按摩的师傅手艺特别好,从来没碰到过能在我充满肥肉的身上...