<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    實戰 | 記一次Facebook上的雙因素身份驗證繞過

    VSole2023-01-29 09:57:13

    概括

    我發現 instagram 中缺乏速率限制問題,這可能允許攻擊者通過使用 Mate 帳戶中心確認目標用戶已經確認的 facebook 手機號碼來繞過 facebook 上的雙因素身份驗證。

    大家好,我是 Gtm M?n?z 。這是我第一次寫漏洞賞金報告,也是我在 facebook 的最高賞金獎勵。

    早在 2022 年 7 月中旬,由于我在 2022 年初的 Meta Bug Bounty 計劃中的出色表現,我收到了參加新加坡 BountyCon 2022 的邀請。收到邀請后,我唯一的想法就是至少找到一個有效的漏洞,并登上現場黑客活動的排行榜。

    因此,當我在 instagram 中發現 Meta Accounts Center 的新界面時,一切就開始了。

    新的 Instagram 帳戶中心

    在上圖中,個人詳細信息部分有一個選項,可以將電子郵件和電話號碼添加到 Instagram 和鏈接的 Facebook 帳戶,可以在輸入電子郵件/電話中收到的正確 6 位代碼后進行驗證。在報告時,驗證 6 位代碼的端點容易受到缺乏速率限制保護的影響,允許任何人在 Instagram 和鏈接的 Facebook 帳戶中確認未知/已知的電子郵件和電話號碼。

    重現步驟:

    1.生成加密 Authproof:

    導航至下圖所示的個人詳細信息部分,然后輸入已注冊的 Facebook 手機號碼以添加到您的 Instagram 鏈接的 Facebook 帳戶中。

    同時,它會向/api/v1/fxcal/get_native_linking_auth_blob/端點發出 post 請求,以生成 ig 加密的 authproof(token),它將在步驟 2 中添加以添加聯系點,稍后還用于驗證確認碼。

    下面是來自 burp suite的示例 HTTP 請求,顯示了加密令牌的生成。

    第 1 步:生成加密的 Authproof

    2.添加聯絡地址:

    在添加聯系點(電子郵件/電話)時,它會向/api/v1/bloks/apps/com.bloks 發出發布請求。www.fx.settings.contact_point.add.async/ 端點請求服務器發送 6 位代碼進行驗證。

    第 2 步:添加聯絡地址 

    3.代碼驗證

    現在,輸入任何隨機的 6 位代碼并使用 web 代理(burp suite)攔截請求。

    第 3 步:代碼驗證 

    然后,將上述請求發送給入侵者,并在 pin_code 值中插入$$占位符,以暴力破解確認碼。

    因為,/api/v1/bloks/apps/com.bloks 中根本沒有速率限制保護。www.fx.settings.contact_point.verify.async/endpoint,任何人都可以繞過聯系地址驗證。

    在暴力破解的同時

    如果 6 位代碼錯誤,則響應將是“錯誤代碼:該代碼無效。請檢查代碼并重試。”

    錯誤代碼 并且,如果 6 位代碼匹配,響應將很長并且輸入的電子郵件/電話將被確認到攻擊者的帳戶。

    因此,如果電話號碼已完全確認并在 Facebook 中啟用了 2FA,則 2FA 將被關閉或從受害者的帳戶中禁用。

    并且,如果電話號碼被部分確認,這意味著僅用于 2FA,它將撤銷 2FA,并且該電話號碼將從受害者的帳戶中刪除。

    因為驗證 instagram 和關聯的 facebook 帳戶中的聯系點(電子郵件/電話)的端點是相同的,所以我能夠繞過 instagram 和 facebook 中的未知和已注冊的聯系點(電子郵件/電話)驗證(無法添加) fb 中存在電子郵件)。

    漏洞影響

    1.撤銷任何人的基于短信的 facebook 2FA

    2.繞過 Instagram 和 Facebook 中未知和已注冊電子郵件/電話的聯系點驗證(無法在 fb 中添加已存在的電子郵件)。

    漏洞修復時間線

    2022 年 9 月 14 日——報告已發送至 Meta。

    2022 年 9 月 16 日——Meta 回應說他們無法重現這個問題。

    2022 年 9 月 20 日——將我的憑據提供給安全團隊進行復制,因為新的帳戶中心功能尚未在他們的帳戶中推出。

    2022 年 9 月 21 日——團隊從新位置登錄后,該功能從帳戶中完全消失。

    2022 年 9 月 21 日——該功能在取消鏈接關聯的 Facebook 帳戶時再次出現,并將這種奇怪的行為告知了團隊。

    2022 年 9 月 22 日——分流。

    2022 年 9 月 24 日 — facebook 獎勵繞過 instagram 的聯系點驗證

    2022 年 10 月 3 日——發送有關撤銷任何人基于短信的 facebook 2FA 的額外影響。

    2022 年 10 月 17 日——Facebook 確認修復

    2022 年 10 月 17 日——要求 Facebook 團隊增加賞金金額,因為 Facebook 總是根據報告的最大可能影響支付賞金。

    2022 年 12 月 14 日——收到 facebook 團隊的回復,稱他們將發放“除了我最初報告的漏洞的價值之外,將反映最大潛在影響的額外賞金金額。”

    2022 年 12 月 15 日——Facebook 根據 2FA 繞過的新支付指南授予額外賞金。

    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    實戰 | 一次Facebook因素身份驗證繞過
    2023-01-29 09:57:13
    端點請求服務器發送 6 位代碼進行驗證。因為,/api/v1/bloks/apps/com.bloks 中根本沒有速率限制保護。因此,如果電話號碼已完全確認并在 Facebook 中啟用了 2FA,則 2FA 將被關閉或從受害者帳戶中禁用。并且,如果電話號碼被部分確認,這意味著僅用于 2FA,它將撤銷 2FA,并且該電話號碼將從受害者帳戶中刪除。2022 年 9 月 21 日——該功能在取消鏈接關聯 Facebook 帳戶時再次出現,并將這種奇怪行為告知了團隊。2022 年 12 月 15 日——Facebook 根據 2FA 繞過新支付指南授予額外賞金。
    ?觀點 | 網絡能力與國家實力分析
    2021-10-10 22:14:36
    該報告是國際戰略研究所研究人員歷經兩年時間研究成果,為15個國家網絡實力提供了一個重要定性評估,并為理解如何對全球國家網絡能力進行排序提供了一 個新定性框架。報告旨在協助國家決策,例如指出對國家實力影響最大網絡能力。
    2021數據安全與個人信息保護技術白皮書
    2021-11-01 12:31:59
    當前,以數字經濟為代表新經濟成為經濟增長新引擎,數據作為核心生產要素成為了基礎戰略資源,數據安全基礎保障作用也日益凸顯。伴隨而來數據安全風險與日俱增,數據泄露、數據濫用等安全事件頻發,為個人隱私、企業商業秘密、國家重要數據等帶來了嚴重安全隱患。近年來,國家對數據安全與個人信息保護進行了前瞻性戰略部署,開展了系統性頂層設計。《中華人民共和國數據安全法》于2021年9月1日正式施行,《中華人
    2021密碼應用技術白皮書(附下載)
    2022-01-25 14:20:52
    2022年1月,國務院印發《“十四五”數字經濟發展規劃》(以下簡稱“規劃”),明確了“十四五”時期推動數字經濟健康發展指導思想、基本原則、發展目標、重點任務和保障措施。規劃指出,數字經濟是農業經濟、工業經濟之后主要經濟形態,是以數據資源為關鍵要素,以現代信息網絡為主要載體,以信息通信技術融合應用、全要素數字化轉型為重要推動力,促進公平與效率更加統一新經濟形態。
    Reproducible Machine Learning可復現機器學習發展、架構及基本工具使用概述
    2022-03-04 06:35:10
    在工業開發領域也有人提出了一種被稱為 MLops 開發范式,即機器學習時代 Devops。Reproducible Machine Learning,顧名思義,即為可復現機器學習。
    關鍵基礎設施安全資訊周報20220620期
    2022-06-20 13:02:59
    技術標準規范 發布 | 國家網信辦修訂《移動互聯網應用程序信息服務管理規定》發布施行(附全文) 國家能源局綜合司關于公開征求《電力行業網絡安全管理辦法(修訂征求意見稿)》《電力行業網絡安全等級保護管理辦法(修訂征求意見稿)》 附件1:電力行業網絡安全管理辦法(修訂征求意見稿) 附件2:電力行業網絡安全等級保護管理辦法(修訂征求意見稿)
    實戰 | 一次3000美金Instagram繞過電子郵件確認漏洞挖掘經歷
    2022-08-12 07:34:15
    Instagram 繞過電子郵件確認漏洞挖掘這個故事是關于一個邏輯漏洞,它幫助我繞過電子郵件確認過程并將任意未經確認電子郵件添加到 Instagram 帳戶。Instagram 向我們發送了一個用于重置密碼或直接登錄帳戶魔術鏈接。攻擊者進入他 Instagram 帳戶設置并將電子郵件更改為受害者電子郵件victim@email.com。已在攻擊者Instagram 帳戶中自動確認。
    實戰|一次從文件備份泄露到主機上線
    2023-08-08 09:22:19
    前言記錄下某個測試項目中,通過一個文件備份泄露到主機上線過程。習慣性將路徑拼接一下訪問一下url,好家伙,未授權。默認賬戶密碼同時注意到了配置文件中還有一行定義了默認登錄賬戶和密碼哈希。于是在cmd5對此哈希進行解密,并成功獲取賬號明文密碼。使用正確url通過哥斯拉連接成功,GetShell達成。未授權訪問+數據查詢+xp_cmdshell=RCE在getshell之后,并未停止測試腳步,發現了一處sql查詢頁面,除了可以查詢數據庫內容外,還可以執行sql語句。
    實戰 | 一次賞金1000美金賬戶接管漏洞挖掘經歷
    2023-07-12 09:45:02
    目標是 IT 咨詢平臺,目標有一個子域 app.tesla-space.com,它是客戶登錄和管理其擁有產品主要應用程序。app.tesla-space.com 有一個功能團隊成員,每個成員都有一個角色。我發現這個功能有兩個邏輯缺陷:具有所有者角色帳戶可以編輯其成員帳戶數據,包括電子郵件帳戶具有所有者角色帳戶可以將任何其他帳戶添加到他團隊中,而無需受邀帳戶任何確認。,所以我立即做了一個POC然后發送了一份報告,花了很長時間才得到他們回復,終于得到了回復
    實戰 | 一次對某企業一次內網滲透總結
    2023-07-10 10:32:09
    0x01 外網打點到Getshell目標站點:通過各種工具和在線網站,對子域名進行收集,并解析ip。發現主站存在CDN,使用fofa,搜索網站title、js等關鍵信息和子域名解析ip對應C段,發現真實ip。對真實ipip段進行掃描,發現一臺機器存在Weblogic中間件,使用exp進行測試,發現成功Getshell。administrator權限,使用免殺馬成功shell0x02 內網滲透有殺軟,做完免殺之后,直接上線CS,進行進程遷移。0x05 攻擊結果使用域管帳戶密碼對域內機器進行批量上線,部分被上線機器列表如下。
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类