我如何入侵Facebook: 第一部分

自三月份以来，我就一直处在疫情中。自从疫情开始，我有大量空闲的时间，为了明智地利用这段时间，所以我决定去获得OSWE的认证,并在8月8号完成了这个考试。之后，我花了几个星期从考试中恢复过来。在9月份中旬,我说你知道吗？ 我没有像每年一样在2020的FaceBook名人堂中注册自己的名字。好吧，让我们开始吧

​ . . .

我从来没有在Facebook的任何子域中找到过一个漏洞,我看一些wp和其中有一篇非常好的针对Facebook某个子域的wp吸引了我所有的注意,你可以点击查阅它:[HTML to PDF converter bug leads to RCE in Facebook server.]

因此在阅读完这篇文章后，我对在如此庞大的web应用程序中能找到多少个漏洞有了很好的理解。

所以我的主要目标是 https://legal.tapprd.thefacebook.com,目的则是找到达到RCE或者类似的效果的漏洞。

我运行了一些fuzzing的工具,只是为了获取该web app的完整端点。我花了2个小时去小睡和看一部电影,然后我回头看看结果，okay, 我得到了一些不错的结果

发现一些返回403的目录:

Dirs found with a 403 response:
/tapprd/
/tapprd/content/
/tapprd/services/
/tapprd/Content/
/tapprd/api/
/tapprd/Services/
/tapprd/temp/
/tapprd/logs/
/tapprd/logs/portal/
/tapprd/logs/api/
/tapprd/certificates/
/tapprd/logs/auth/
/tapprd/logs/Portal/
/tapprd/API/
/tapprd/webroot/
/tapprd/logs/API/
/tapprd/certificates/sso/
/tapprd/callback/
/tapprd/logs/callback/
/tapprd/Webroot/
/tapprd/certificates/dkim/
/tapprd/SERVICES/

好的,我认为这个结果足以支持我先前对于这个应用程序有多大的理论，然后我开始阅读js文件，用以了解网站的工作方式，和其使用的方法..等等

我注意到一种绕过重定向登录到SSO的方法,即https://legal.tapprd.thefacebook.com/tapprd/portal/authentication/login,在分析该登录页面后，我注意到了下面这个端点。

/ tapprd / auth / identity / user / forgotpassword

在用户端进行一些模糊的fuzz之后，我注意到了另一个端点-/savepassword,它期待POST的请求方式。在读取了js文件后，我知道了这个页面如何工作,这里应该有生成的令牌和xsrf的令牌等等.最初想到的主意是，让我们对其进行测试，看看是否可行，我尝试使用burp手工进行修改，但出现了错误，错误信息是执行此操作失败。

我说好家伙,这可能是因为电子邮箱有误或者其他原因? 让我们获取管理员的电子邮箱,然后我开始将随机电子邮件放入列表中去制作字典，然后我使用intruder,然后说让我们看看会发生什么。

几个小时后我回来了，我得到了了相同的错误结果以及另一个结果，这是一个302跳转到登录页面，我说，哇，如果这样是有效的，我真的该死，哈哈。

因此，让我们回过头来看看我在这里做了什么，我用intruder发送了随机的带有CSRF令牌和随机带有新密码的邮箱的请求到savepassword这个端点。

结果之一是302重定向:

现在，我进入登录页面，填入登录电子邮件和新密码，BOOM,我成功登录进了这个应用程序，并且我能够进入管理面板:)

我阅读了之前使用PDF进行RCE的黑客报告，他们只给了他1000美元作为奖励，所以我说好，让我们在这里取得更大的影响并进行一次完美的利用。

我编写了一个快速简单的python脚本利用此漏洞，你输入电子邮件和新密码，脚本将更改其密码。

这里的影响之所以如此之大，是因为Facebook的员工曾经使用其工作账号进行过登录，这就意味他们正在使用其Fackbook的账户访问令牌，并且如果其他攻击者想要利用此身份，则可能会使他能够访问某些Facebook的工作账户等等

然后，我报告了该漏洞，并对报告进行了分类。

在10月2号，我收到了7500美元的赏金。

(ps.密码重置的API是对任何人开放的，没有验证,相当于未授权访问一个端点吧。然后影响也只是tapprd这个产品。)

我非常享受利用这个漏洞的过程，因此我觉得还是意犹未尽的，这是一个没啥技术含量的脚本! 让我们挖掘到越来越多漏洞吧。

同时，我在同一应用程序发现了另外两个漏洞，但是我们将在第二部分中讨论其他漏洞:)

你可以在我的网站上阅读这个 write-up:https://alaa.blog/2020/12/how-i-hacked-facebook-part-one/

你也可以在twitter上关注我:https://twitter.com/alaa0x2

本文为翻译文章,原文链接:https://alaa0x2.medium.com/how-i-hacked-facebook-part-one-282bbb125a5d

BY:先知论坛