Facebook opet. Mislim da će me gosn Mark na kraju upucati. No, dobro. Dok čekate tekstove u kojima ćete naći uputstva kako da počinite neka krivična dela i zbog čega će vam neko prebiti prste, evo malo zabave zbog koje će vas neki ljudi možda manje voleti. Ali ko im je kriv kada u svoje albume na FB-u stavljaju kojekave fotke, zar ne?
Dobro vam je poznato da u suštini ne možete gledati albume ljudi koji vam nisu "prijatelji" u ovoj socijalnoj mreži. Ono što vam nije palo na pamet je da u kodu FB-a postoji greška koju možemo jako jednostavno eksploatisati i videiti bilo koji album - čak i albume ljudi koji nam nisu "prijatelji" Kako? Obratite pažnju.
Pretpostavimo da je naš drugar, koga ćemo u svrhu ovog teksta zvati Ivan, napravio album na FB-u. Mi taj album možemo videti jer nam je Ivan "prijatelj" na sistemu. Album se nalazi na adresi: http://www.facebook.com/album.php?aid=-3&id=1503453566&l=zzd4r Posmatrajmo ovaj link malo. Šta sve tu vidimo?
aid=-3
id=1503453566
l=zzd4r
Tri nepoznate. Dakle, ako bismo bili u stanju da saznamo koje vrednosti treba postaviti kako bismo videli fotke neke Jelene tamo koja je stavljala svašta naš bi život bio savršen, jel da? Nađite život. Elem, pošto nemam FB nalog nisam mogao da nađem neku Jelenu te je ovaj eksperiment urađen apsolutno nasumično. Neću reći u čiji sam album upao pošto će čovek možda videti ovaj tekst. Nego, da se vratimo temi. Dakle, imamo tri nepoznate promenljive. Prva, "aid" definiše ID albuma koji gledamo. Druga, "id" definiše korisnika koga gledamo i treća, "l" ukazuje na konkretan album.
Krenimo redom, aid uvek znamo jer ako niste primetili, to je uvek ista vrednost za sve korisnike i ona je "-3". Ok. Sada nam je potreban ID korisnika. I to lako možemo saznati. Zanima vas neka osoba, nađite je preko Search. Pređite mišem preko njene sličice i browser će vam pokazati URL tog profila. U tom URL ćete videti vrednost za "id". Nešto ovako: www.facebook.com/addfriend.php?id=012666789 Divno, sada imamo dve od tri promenljive. E, ova treća je i najteža. FB koristi sistem nasumičnih brojeva i znakova kao traljav vid zaštite pristupa albumima. Vrlo traljavo. Ako upotrebimo samo malo mozga uvidećemo da se ta vrednost dobija iz sledećeg niza karaktera: "0123456789abcdef" iz kog izvlači samo 5 karaktera. Nezgodno. Ili možda nije. Tu vam u pomoć dolazi programče Burp Suite. U pitanju je program koji služi za različite vidove napadanja web sajtova. Upotreba je krajnje jednostavna, programu date adresu koju želite da prečešlja. Obratite pažnju na sliku ispod, programu je rečeno da menja samo vrednosti za krajnju promenljivu tako što je stavljeno �� za tu vrednost.

U tabu pod imenom "Payload" izaberite Custom iterator i stavite vrednost 0123456789abcdef a veličina ulaznih podataka neka uvek bude 5. Program će sada za vas pokušavati sve moguće kombinacije dok ne nađe onu pravu i TADAAAA! Burp će vam u jednom momentu prikazati stranicu sa albumom. Otvorite link koji vam program pokaže u browseru i imate pun pristup albumu iako vam ta osoba nije prijatelj.
I takooooo…
Propust otkrio kolega SecurityNinja