FACEBOOK COMO PROXY DE ATAQUE

Hace poco, Juan Carlos García (@secnight) y yo expusimos en hackignmadrid (http://hackingmadrid.blogspot.com.es/2013/05/exploit-title-facebook-graphapi-usersid.html?zx=f3dec0415620ae05 ) un fallo en utilizando la herramienta graph de facebook (https://graph.facebook.com), donde era posible obtener gran cantidad de información acerca de los usuarios, grupos y demás … En este post vamos a hablar de otra cosa descubierta en Facebook ;)…
El otro día, estaba yo cansado de estudiar y dije .. Por qué no seguir? Ya que no me concentraba, estuve echando un ojo a ver que veía por Facebook y en una de esas, descubro que es eso del depurador de objetos… Se trata de una aplicación diseñada para hacer “debug” de sitios mediante Facebook pero… Que en este caso le vamos a dar una utilidad distinta…
Como se puede ver dentro del debugger de Facebook nos permite realizar búsquedas, dándonos alguna información acerca de la web que estamos consultando.

                                             
Además de esto también nos proporciona información que va a almacenar de forma permanente en Facebook como se muestra a continuación.


                                 

                                              
El saber para que nos iba a servir y como a Juan Carlos eso de sacar y monotorizar toda clase de BBDD que se le ponga de por medio, pues directamente a una SQLi y Mark se queda en el medio...
Como lo bautizó @secnight Facebook in the Middle.. por ejemplo podríamos realizar una consulta para obtener el código fuente de cualquier pagina y… Con ello, una de las muchas cosas que podríamos hacer seria como he dicho, realizar una SQLi a una página vulnerable, haciéndonos pasar por Facebook. Lo cual no creo que le hiciera mucha gracia a Facebook, pues si se borrara una base de datos de alguna web importante, al que irían a reclamar seria a Facebook ;)!
Vamos a ver un ejemplo donde se va a realizar una SQLi a una web que es vulnerable, consiguiendo sacar los usuarios y hash de los administradores del wordpress de esta página.
En la siguiente imagen podemos observar la petición realizada que se encuentra dentro de la herramienta hack-bar, y subrayado el user y pass del administrador de wordpress del sitio en cuestión.


                             



¿Qué se podría hacer con esto? Llevar a cabo cualquier tipo de ataque, utilizando Facebook como proxy ;)!
Que tenemos que tener en cuenta… Por un lado, para poder utilizar esto desde hacer poco tiempo, casualmente han pasado de que este servicio pueda utilizarlo cualquier persona a que únicamente puedan utilizarlo aquellas que tengan una cuenta en Facebook, por lo que primero deberíamos crearnos una cuenta (Utilizando servicios como http://mailinator.com para registrar la cuenta por ejemplo).
Lógicamente tanto la creación de la cuenta, nuestra interacción con ella y todas las conexiones a Facebook deberíamos realizarlas a través de proxys anónimos como puede ser TOR (es lento…) u otras opciones como usar sockets. Lo cual nos permitiría anonimato, pues cuando Facebook compruebe quien era el responsable de esa petición en caso de tener algún problema solo podrá identificar un nodo TOR de salida a Internet, nunca a nosotros.
Otras posibles formas de utilizar esto sería por ejemplo mediante herramientas automáticas, pero es desaconsejable sobre todo por el ruido que harían al estar haciendo tantas peticiones a Facebook donde en la URL aparecen parámetros malformados.
Esperamos que os haya gustado!
Juan Carlos Garcia @secnight 
Eduardo Arriols @hykeos

Entradas populares de este blog

SHELLCODES por un tubo ....

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

CERTIFICACIONES DE SEGURIDAD