Отправка сообщения от любого пользователя любому. ̶$̶6̶0̶0̶ Бесплатно ;)

в 14:29, , рубрики: 0day, exploit, Facebook, Блог компании «Digital Security», информационная безопасность, метки: , ,

Отправка сообщения от любого пользователя любому. ̶$̶6̶0̶0̶ Бесплатно ;)

Немного новостей с рынка продажи эксплойтов

Для введения в экскурс дела — существуют различные биржи эксплойтов, и на одной из них — 1337day.com, появился эксплойт со следующим названием — "Facebook Send Messages From Anyone 0day" с ценой в $600…

Итак, начало истории. В очередной раз проверяя 1337day.com и завидев эксплойт стало сразу интересно, так как подобные случаи (эксплойты для сервисов, где есть bugbounty) бывают редко. Открыв эксплойт, видим цену в $600 и следующее описание:

This Exploit allowed you to send messages from any person to any one on facebook

Первым делом вбиваем в гугл и находим видео-демо эксплойта, загруженное несколько часов назад:

Просмотрев которое можно понять схему работы эксплойта за считанные секунды, зная работу facebook. Facebook выдает каждому юзеру почту, вида username@facebook.com. username — публичен, идет после facebook.com/username. Это первый момент.

Второй — если отправить письмо на почту username@facebook.com — сообщение попадет в общий чат (где обычные сообщения). Ну а если письмо с почты, на которую зарегистрирован какой-либо аккаунт — мы получим письмо от этого юзера. И момент, если к аккаунту привязаны еще емейлы, то можно использовать любой из них. Т.е. зная почту, на которую зарегистрирован пользователь, мы можем слать от него сообщения. Но есть 2 отличия:

  • У юзера, от кого мы пишем сообщение — его не будет во входящих
  • Сообщение будет помечено очень мелкой иконкой Отправка сообщения от любого пользователя любому. ̶$̶6̶0̶0̶ Бесплатно ;)

Готовим атаку

Чтобы повторить эксплойт достаточно поднять свой smtp сервер (на примере debian)
sudo apt-get postfix
и поставить sendemail
apt-get install sendemail

Дальше всего одна строчка:
sendemail -f from@gmail.com -t username@facebook.com -u subj -m message
Works is done ;)

Конечно же, мы решили об этом сначала сообщить (в ФБ). И уже после некоторый поиск дал еще информацию, что это уже очень старая «фича», и подобный сплойт до сих пор находится в продаже на этом же ресурсе, но за $700
1337day.com/exploit/description/20296
Где в комментах можно увидеть, что люди это используют свыше 2х лет.

Всем пятницы и хороших выходных ;)

Автор: BeLove

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js