How i found a vulnerability that leads to access any users' sensitive data and got $500

 أهلا بالجميع! سأكتب اليوم عن ثغرة أمنية مثيرة للاهتمام وجدتها في Flickr (شركة تابعة سابقاً لشركة Yahoo)

للمعلومات: "Flickr هي خدمة استضافة الصور والفيديو الأمريكية ، ومنصة لعرض الاعمال الفنية والصور و التصاميم ..الخ"

 

ملحوظة : "Flickr كانت مملوكة لشركة Yahoo وقد تمت استضافتها أيضًا على العديد من الخوادم بما في ذلك خوادم Amazon ، وبعد إعادة تشغيل Flickr كمنظمة مستقلة ومنفصلة عن Yahoo ، لا تزال هذه الخوادم تتمتع بحق الوصول الكامل إلى قواعد بيانات خادم Flickr الرئيسي الجديد"  

 

جمع لمعلومات:

حسنًا ، لنبدأ ، جمع المعلومات حول هدفك هو المفتاح الذهبي للعثور على نقطة ضعفها ، أولاً جمعت  ال Subdomains من خلال الأدوات
الشائعة مثل :
subfinder، Assetfinder، sublist3r، amass، findomain
ثم استخرجت ال live Subdomains منهم  , و اخذت لقطات شاشة منهم من خلال اداة aquatone  وعن طريق الامر التالي :

 cat live-subs | aquatone -scan-timeout 3000 -threads 5 -silent -screenshot-timeout 50000 -http-timeout 20000 -out  screenshots-folder

ثم فحصتهم واحدة تلو الاخرى , والغريب ان معظم ال Subdomains عبارة عن صفحة تحتوي علي رسالة خطأ تقول "We're sorry, Flickr doesn't allow embedding within frames." وشعار فليكر  ولا يوجد شئ اخر , تركت ذلك مؤقتاً وذهبت الي shodan ﻷستخرج بعض الاشياء المثيرة للإهتمام ,ثم استخدمت هذا ال Dork :

 

 ssl.cert.subject.CN:"*.flickr.com"+200  

 

لفلترة السيرفرات التابعة لفليكر ثم بعد فحص النتائج وجدت سيرفرات بعناوين ip مختلفة  تظهر نفس رسالة الخطأ التي رأيتها مسبقا عندما كنت افحص الSubdomains التي جمعتها 

 

 

الحفر بعمق ثم الإكتشاف:

 

فأثار الامر فضولي ,حينها قررت ان القي نظرة علي هذا وقلت لما لا نبدأ اولاً بعمل fuzz علي ال directories بإستخدام أداة ffuf  في هذا السيرفر الذي يظهر رسالة خطأ , وبعد فترة من فحص المسارات المتاحة, لقد وجدت أنه عند إضافة كلمة start ، تظهر جميع محتويات السيرفر ، وسيكون الURL هكذا :

 

https://ip-of-strange-server/start 

وسترى مربع بحث وايضا لوجو ياهو بجانب فليكر ,, ,ولكن كانت تظهر لمدة ثانية ثم تختفي بسرعة ويعرض لي نفس الخطأ مرة اخرى ,,

 

 

 

علي الجانب الآخر،،

الموقع الرئيسي لفليكر والذي هو معرض صور للرسامين والمصممين ,, قمت بإنشاء حساب وهمي بغرض الاختبار وقمت بنشر صورة فنيه بعنوان علي سبيل "golden_arrow_img" , ثم حاولت البحث عن اي شئ في مربع البحث الخاص بالموقع الرئيسي وبنية عنوان الرابط سيكون كالتالي:

 

https://www.flickr.com/search/?text=golden_arrow_img

  وجدت انه يرجع لي الصور ومعلومات اسم الناشر مثل اسمه واسم المعرف الخاص به وعنوان الصورة وبيانات اخرى غير حساسة ويمكن لأي مستخدم رؤيتها والتي هي :

"username":"robert.anderson",
"realname":"Robert Anderson",
"ownerNsid":"29454454@N03",
"title":"Golden arrow IMG_0469",
"description":"Land speed record" ,
"license":0

فخطرت لي فكرة وهي لماذا لا اجرب البحث بنفس الطريقة من خلال السيرفر الغريب الذي اكتشفته , ذهبت على الفور الي الURL :

 https://ip-of-strange-server/start 

 

ثم استخدمت Burpsuite وقمت بإيقاف الRequest لأري محتويات الResponse بوضوح وجدت ان بنية عنوان رابط البحث سيكون كالتالي :

  https://ip-of-strange-server/search?q=golden_arrow_img

بعدها قمت بالذهاب لهذا الرابط وقمت بإرساله الي Repeater لأتلاعب مع هذا السيرفر قليلاً , ارسلت هذا الريكويست مجدداً  ثم المفاجأة كانت في الريسبونس ! وجدت معلومات كثيرة ,كثيرة للغاية عن الناشر , معلومات لا يمكن ان يراها احد سوى مسؤولي الموقع :

 

 

 

كان الامر جنوني نوعاً ما! مش كدا !

 

لقد صدمت اكثر عندما وجدت من ضمن هذه المعلومات ال "password" , كانت hashed بالطبع ,ولكن شعرت ان الامر غير منطقي بالنسبة لكلمة المرور  ( وتم التوضيح من قبل فريق فليكر ان كلمة المرور غير حقيقية وانها كانت متواجدة عندما كانت فليكر تابعة لياهو مسبقاً وانهم يخزنون بيانات تسجيل الدخول للمستحدمين في سيرفرات خاصة الان ) ,

 حقا كانت طريقة ايجاد تلك الثغرة امر ممتع للغاية بالنسبة لي ،،  ابلغتها فوراً وحصلت علي مكافأة 500 دولار 

شكرا للقراءة واتمنى النجاح لكم جميعا

رابط التقرير في هاكروان : https://hackerone.com/reports/1365738