Blog

Using Facebook as a Proxy for Attacks

Hace poco, Juan Carlos García (@secnight) y yo expusimos en hackignmadrid (http://hackingmadrid.blogspot.com.es/2013/05/exploit-title-facebook-graphapi-usersid.html?zx=f3dec0415620ae05 ) un fallo en utilizando la herramienta graph de facebook (https://graph.facebook.com), donde era posible obtener gran cantidad de información acerca de los usuarios, grupos y demás … En este post vamos a hablar de otra cosa descubierta en Facebook ;)…

El otro día, estaba yo cansado de estudiar y dije .. Por qué no seguir? Ya que no me concentraba, estuve echando un ojo a ver que veía por Facebook y en una de esas, descubro que es eso del depurador de objetos… Se trata de una aplicación diseñada para hacer “debug” de sitios mediante Facebook pero… Que en este caso le vamos a dar una utilidad distinta…

Como se puede ver dentro del debugger de Facebook nos permite realizar búsquedas, dándonos alguna información acerca de la web que estamos consultando.

facebook_1

Además de esto también nos proporciona información que va a almacenar de forma permanente en Facebook como se muestra a continuación.

facebook_2

facebook_3

Bien… Y para que nos podría valer esto? Pues por ejemplo podríamos realizar una consulta para obtener el código fuente de cualquier pagina y… Con ello, una de las muchas cosas que podríamos hacer seria realizar una SQLi a una página vulnerable, haciéndonos pasar por Facebook. Lo cual no creo que le hiciera mucha gracia a Facebook, pues si se borrara una base de datos de alguna web importante, al que irían a reclamar seria a Facebook ;)!

Vamos a ver un ejemplo donde se va a realizar una SQLi a una web que es vulnerable, consiguiendo sacar los usuarios y hash de los administradores del wordpress de esta página.

En la siguiente imagen podemos observar la petición realizada que se encuentra dentro de la herramienta hack-bar, y subrayado el user y pass del administrador de wordpress del sitio en cuestión.

facebook_4

¿Qué se podría hacer con esto? Llevar a cabo cualquier tipo de ataque, utilizando Facebook como proxy ;)!

Que tenemos que tener en cuenta… Por un lado, para poder utilizar esto desde hacer poco tiempo, casualmente han pasado de que este servicio pueda utilizarlo cualquier persona a que únicamente puedan utilizarlo aquellas que tengan una cuenta en Facebook, por lo que primero deberíamos crearnos una cuenta (Utilizando servicios como http://mailinator.com para registrar la cuenta por ejemplo).

Lógicamente tanto la creación de la cuenta, nuestra interacción con ella y todas las conexiones a Facebook deberíamos realizarlas a través de proxys anónimos como puede ser TOR (es lento…) u otras opciones como usar sockets. Lo cual nos permitiría anonimato, pues cuando Facebook compruebe quien era el responsable de esa petición en caso de tener algún problema solo podrá identificar un nodo TOR de salida a Internet, nunca a nosotros.

Otras posibles formas de utilizar esto sería por ejemplo mediante herramientas automáticas, pero es desaconsejable sobre todo por el ruido que harían al estar haciendo tantas peticiones a Facebook donde en la URL aparecen parámetros malformados.

Espero que os haya gustado!

Special THANKS: Juan Carlos (@secnight)

 

Autor: @_Hykeos  –  eduardo@highsec.es

 

  1. Alejandro
    Alejandro05-10-2013

    Como que esta muy poderoso ese “truco” ¿No?

    No Twitter Messages