ເພີ່ມ ຄຳ ອະທິບາຍລົງໃນໂພສ Instagram ໃນນາມຜູ້ໃຊ້ອື່ນໆ - 6500 $

ສະບາຍດີຄົນອື່ນໆ, ມັນແມ່ນ JubaBaghdad ອີກເທື່ອ ໜຶ່ງ, ມື້ນີ້ຂ້ອຍຢາກແບ່ງປັນກັບບັນດາຂໍ້ບົກພ່ອງທີ່ ໜ້າ ສົນໃຈທີ່ຂ້ອຍພົບໃນ Instagram ທີ່ເຮັດໃຫ້ຂ້ອຍສາມາດເພີ່ມ ຄຳ ອະທິບາຍໃຫ້ກັບຜູ້ໃຊ້ໂພສອື່ນໆ, ເຈົ້າພ້ອມແລ້ວບໍ !! :)

ເລື່ອງການຄົ້ນຫາ

ໃນ 6-August-2018 ຄວາມຄິດໄດ້ເຂົ້າມາໃນຈິດໃຈຂອງຂ້ອຍ, ຂ້ອຍຢາກຫລີກລ່ຽງການກວດສອບສອງປັດໃຈ (2fa) ຂອງ Instagram ຈາກຫນ້າເຟສບຸກ, ເພາະວ່າມີທາງເລືອກໃນ ໜ້າ ເຟສບຸກທີ່ຊ່ວຍໃຫ້ເຈົ້າສາມາດຈັດການກັບ Instagram, ເພື່ອລາຍລະອຽດເພີ່ມເຕີມເບິ່ງນີ້ link.

ຂ້ອຍປ່ຽນໄປທີ່ Facebook Test Page ຂອງຂ້ອຍແລະກົດທີ່ແຖບ Instagram ແລະພະຍາຍາມເຂົ້າສູ່ລະບົບໂດຍໃຊ້ບັນຊີ Instagram ເກົ່າຂອງຂ້ອຍ, ແຕ່ຂ້ອຍບໍ່ສາມາດເຂົ້າສູ່ລະບົບໄດ້ເພາະຂ້ອຍລືມລະຫັດຜ່ານຂອງຂ້ອຍຕາມປົກກະຕິ :)

ທ່ານສາມາດຈັດການບັນຊີ Instagram ຂອງທ່ານຈາກຫນ້າເຟສບຸກຂອງທ່ານ

ຫລັງຈາກນັ້ນຂ້ອຍໄດ້ເປີດ Instagram ຈາກໂປແກຼມທ່ອງເວັບຂອງຂ້ອຍເພື່ອເບິ່ງວ່າບັນຊີຂອງຂ້ອຍຍັງມີຢູ່ຫລືບໍ່ແລະຂ້ອຍໄດ້ເຫັນສິ່ງນີ້:

ນີ້ແມ່ນຮູບລັກສະນະຂອງ Instagram ໃນເວລາທີ່ທ່ານເປີດມັນຈາກຕົວທ່ອງເວັບ

ຖ້າທ່ານເບິ່ງຮູບຂ້າງເທິງບາງທີທ່ານອາດຈະບໍ່ສັງເກດເຫັນສິ່ງທີ່ ໜ້າ ສົນໃຈແຕ່ ສຳ ລັບຂ້ອຍມັນ ໜ້າ ສົນໃຈແທ້ໆ !! ເປັນຫຍັງ !! ເພາະຂ້ອຍໄດ້ທົດສອບແອັບ app ເວັບ Instagram ແລ້ວ. ກ່ອນແລະຂ້ອຍມີນິໄສນັ້ນທີ່ ກຳ ລັງຈື່ ຈຳ ທາງເລືອກແລະຄຸນລັກສະນະຕ່າງໆດັ່ງນັ້ນຂ້ອຍສາມາດສັງເກດເຫັນຄຸນລັກສະນະ ໃໝ່ໆ ຢ່າງໄວວາ, ເບິ່ງຮູບພາບຂ້າງເທິງແລະເຈົ້າຈະເຫັນວ່າມີຕົວເລືອກທີ່ ໜ້າ ສົນໃຈທີ່ເອີ້ນວ່າ IGTV.

IGTV ແມ່ນຫຍັງ:

IGTV, ແມ່ນຄຸນສົມບັດ ໃໝ່ ສຳ ລັບເບິ່ງຮູບແບບຍາວ, ວີດີໂອແນວຕັ້ງຈາກຜູ້ສ້າງ Instagram ທີ່ທ່ານມັກ, ສຳ ລັບລາຍລະອຽດເພີ່ມເຕີມເບິ່ງທີ່ລິ້ງນີ້.

ຂ້ອຍໄດ້ອ່ານກ່ຽວກັບຄຸນລັກສະນະນີ້ຫຼາຍຈາກສູນຂໍ້ມູນ Instagram, ແລະຕັດສິນໃຈທົດສອບມັນ :)

ດັ່ງນັ້ນຂ້ອຍໄດ້ສ້າງວິດີໂອ IGTV, ເມື່ອຂ້ອຍສ້າງມັນຂ້ອຍກົດເຂົ້າໄປໃນຕົວເລືອກການແກ້ໄຂແລະຂັດຂວາງການຮ້ອງຂໍກັບ burpsuite ເພື່ອເບິ່ງວ່າຕົວກໍານົດປະເພດໃດທີ່ຢູ່ພາຍໃນຄຸນລັກສະນະນີ້ແລະຂ້ອຍໄດ້ເຫັນສິ່ງນີ້:

POST / ສື່ / 1887820989027383407 / ດັດແກ້ /
caption = test & Publ_mode = igtv & title = ທົດສອບ

OK ໃຫ້ພວກເຮົາວິເຄາະ ຄຳ ຮ້ອງຂໍຂ້າງເທິງນີ້ແລະເບິ່ງສິ່ງທີ່ພວກເຮົາມີຢູ່ໃນມືຂອງພວກເຮົາ:

1- id id ຂອງສື່ = 1887820989027383407 ===> ແມ່ນ ID ຂອງວິດີໂອ IGTV ຂອງຂ້ອຍ, ຂ້ອຍໄດ້ຄົ້ນຫາ ID ຂອງສື່ແລະສັງເກດເຫັນວ່າ Instagram ໝາຍ ເຖິງໂພສໃດໆ (ຮູບພາບ, ວີດີໂອແລະວີດີໂອ IGTV) ທີ່ມີ ID ສື່ແລະຂ້ອຍສາມາດໄດ້ຮັບ ID ສື່ໃດໆ ສຳ ລັບ ຂໍ້ຄວາມຜູ້ໃຊ້ອື່ນໆໂດຍພຽງແຕ່ເຂົ້າເບິ່ງຂໍ້ຄວາມຂອງພວກເຂົາແລະເບິ່ງລະຫັດແຫຼ່ງ:

ທ່ານສາມາດໄດ້ຮັບ ID ສື່ມວນຊົນໃດໆຂອງໂພສຈາກລະຫັດແຫຼ່ງຂໍ້ມູນ

2- ອີກວິທີ ໜຶ່ງ ທີ່ຈະໄດ້ຮັບບັດປະ ຈຳ ຕົວຂອງສື່, ໂດຍພຽງແຕ່ເຂົ້າເບິ່ງໂປສເຕີຂອງຜູ້ໃຊ້, ກົດເຂົ້າໄປຄ້າຍແລະຂັດຂວາງການຮ້ອງຂໍກັບ burpsuite (ຂ້ອຍໄດ້ໃຊ້ມັນໃນວີດີໂອ PoC ຂອງຂ້ອຍ).

3- ພາລາມິເຕີ (ຫົວຂໍ້ແລະຫົວຂໍ້)

ເມື່ອທ່ານສ້າງຮູບພາບຫລືວິດີໂອໃດ ໜຶ່ງ ໃນ Instagram ເວັບໄຊຕ໌ແອັບ ask ຂໍໃຫ້ທ່ານເອົາ ຄຳ ອະທິບາຍໃສ່ຮູບຫລືວິດີໂອນັ້ນ (ມັນເປັນໄປໄດ້ທີ່ທ່ານສາມາດປ່ອຍໃຫ້ມັນເປັນຄືກັບຜູ້ໃຊ້ຫຼາຍລ້ານຄົນທີ່ເຮັດ :)), ໃນ IGTV, ຄຳ ບັນຍາຍອ້າງເຖິງ ຄຳ ອະທິບາຍເຊັ່ນກັນ

ເຢັນ, ພວກເຮົາໄດ້ຮັບຂໍ້ມູນທັງ ໝົດ ທີ່ພວກເຮົາຕ້ອງການ, ແມ່ນຫຍັງຕໍ່ໄປ !!

ຖ້າທ່ານສັງເກດເຫັນ ຄຳ ຮ້ອງຂໍຂ້າງເທິງນີ້ພວກເຮົາມີ ID ສື່, ດັ່ງນັ້ນໃນຖານະທີ່ເປັນຜູ້ລ່າສັດທີ່ຜິດແນ່ນອນພວກເຮົາຈະພະຍາຍາມຫລອກລວງເຄື່ອງແມ່ຂ່າຍຂອງ Instagram ແລະປ່ຽນ ID ສື່ນັ້ນໃຫ້ເປັນ ID ຂອງຜູ້ໃຊ້ສື່ອື່ນແລະເບິ່ງ, ພວກເຮົາສາມາດຫລອກລວງລະບົບແລະເພີ່ມ ຄຳ ອະທິບາຍໃສ່ຂໍ້ຄວາມຂອງຜູ້ໃຊ້ອື່ນໆ. ໃນນາມຂອງພວກເຂົາ !! ??

ຂັ້ນຕອນການທົດສອບ

ໃນຂະນະທີ່ທົດສອບເລື່ອງນີ້ໃນບັນຊີການທົດສອບອື່ນຂອງຂ້ອຍ, ຂ້ອຍໄດ້ສັງເກດຢູ່ລຸ່ມນີ້:

  • ຂ້ອຍສາມາດເພີ່ມ ຄຳ ອະທິບາຍລົງໃນຂໍ້ຄວາມຜູ້ໃຊ້ອື່ນ (ໂດຍການປ່ຽນແທນ ID ສື່ຂອງຂ້ອຍກັບ ID ຂອງສື່ຂອງພວກເຂົາ), ຖ້າພວກເຂົາບໍ່ໄດ້ໃສ່ ຄຳ ອະທິບາຍໃດໆໃສ່ໃນຂໍ້ຄວາມຂອງພວກເຂົາ.
  • ມັນເຮັດວຽກໃນໂພສທຸກປະເພດເຊັ່ນຮູບພາບ, ວິດີໂອແລະວີດີໂອ IGTV.
  • ມັນເຮັດວຽກໄດ້ພຽງແຕ່ຢູ່ໃນບັນຊີສາທາລະນະ.
  • ສິ່ງທີ່ແປກທີ່ສຸດ, ການຕອບສະ ໜອງ ໄດ້ເຮັດໃຫ້ຂ້ອຍມີຂໍ້ຜິດພາດພາຍໃນຂອງ Server ດ້ວຍຂໍ້ຄວາມທີ່ຜິດພາດວ່າ "ຄວາມຜິດພາດທີ່ເກີດຂື້ນ", ແຕ່ແທນທີ່ຂໍ້ບົກພ່ອງເຮັດວຽກຄືກັບສະ ເໜ່, ທ່ານຈະເຫັນໃນວີດີໂອ PoC ຂອງຂ້ອຍຢູ່ທາງລຸ່ມ.

ເປັນຫຍັງແມງໄມ້ນີ້ຈຶ່ງເປັນອັນຕະລາຍຫຼາຍ

  • ຜູ້ໃຊ້ຫຼາຍຄົນ (ບັນຊີລ້ານໆລ້ານຄົນ) ໃນ Instagram ກຳ ນົດໂປຼໄຟລ໌ຂອງພວກເຂົາຕໍ່ສາທາລະນະ.
  • ຖ້າພວກເຮົາຄົ້ນຫາໃນບັນຊີສາທາລະນະໃດ ໜຶ່ງ, ພວກເຮົາສາມາດພົບເຫັນຢ່າງ ໜ້ອຍ ໜຶ່ງ ໂພດທີ່ບໍ່ມີ ຄຳ ອະທິບາຍເຊິ່ງເຮັດໃຫ້ຂໍ້ບົກພ່ອງເຮັດວຽກໄດ້ໃນເກືອບລ້ານບັນຊີ.
  • ຖ້າຂໍ້ບົກພ່ອງນີ້ຢູ່ໃນມືທີ່ບໍ່ດີ (ໝວກ ດຳ), ລາວສາມາດແນເປົ້າ ໝາຍ ໃສ່ຜູ້ຕິດຕາມທີ່ຕິດຕາມໄດ້ຫຼາຍທີ່ສຸດໃນເວບໄຊທ໌ເບິ່ງ link ນີ້.
  • ຜູ້ໃຊ້ Instagram ສ່ວນໃຫຍ່ລວມທັງຄົນດັງແມ່ນມີຄວາມສ່ຽງຕໍ່ຂໍ້ບົກພ່ອງນີ້, ເພາະວ່າພວກເຂົາເຄີຍເຮັດໂພສໂດຍບໍ່ຕ້ອງເພີ່ມ ຄຳ ອະທິບາຍ, ຍົກຕົວຢ່າງ:

ໝາຍ zuckerberg ===> 4.6 ລ້ານຕິດຕາມ ==> ເບິ່ງໂພສຂອງລາວ

Selena Gomez ===> ຜູ້ຕິດຕາມ 140 ລ້ານ ===> ເບິ່ງໂພສຂອງນາງ

Ariana Grande ====> 125 ລ້ານຜູ້ຕິດຕາມ ==> ເບິ່ງການໄປສະນີຂອງນາງ

Beyoncé =====> 117 ລ້ານຜູ້ຕິດຕາມ ====> ເບິ່ງໂພສຂອງນາງ

Kim Kardashian ===> ຜູ້ຕິດຕາມ 115 ລ້ານຄົນ ==> ເບິ່ງໂພສຂອງນາງ

Lionel Messi:) ====> 97 ລ້ານຕິດຕາມ ===> ເບິ່ງທີ່ໂພດຂອງລາວ

ບັນຊີລາຍຊື່ດັ່ງກ່າວແມ່ນຍາວນານ :), ສະນັ້ນຈິນຕະນາການບັກ High High ແບບນີ້ຢູ່ໃນມືທີ່ບໍ່ດີ, ມັນອາດຈະ ນຳ ໄປສູ່ການໂຄສະນາສື່ມວນຊົນທີ່ໃຫຍ່ໂດຍການ ກຳ ນົດເປົ້າ ໝາຍ ຂອງນັກສະເຫຼີມສະຫຼອງເປັນຕົວຢ່າງ, ຫຼືສ້າງບັນຫາໃຫຍ່ລະຫວ່າງບໍລິສັດຍັກໃຫຍ່ເຊັ່ນແອບເປີ້ນແລະຄູ່ແຂ່ງຂອງ Samsung :) ແລະອື່ນໆ.

ຂ້ອຍໄດ້ລາຍງານຂໍ້ບົກພ່ອງນີ້ໂດຍກົງໃຫ້ທີມງານຄວາມປອດໄພຂອງເຟສບຸກແລະພວກເຂົາໄດ້ແກ້ໄຂມັນພາຍໃນມື້ດຽວເທົ່ານັ້ນ, ການແກ້ໄຂແມ່ນໄວຫຼາຍເພາະວ່າຄວາມຮ້າຍແຮງຂອງບັກ, ພວກເຂົາຍັງໄດ້ມອບລາງວັນໃຫ້ຂ້ອຍທີ່ດີເລີດ 6500 $

ຂ້າພະເຈົ້າຂໍຂອບໃຈ Facebook Security Team ສຳ ລັບ Bounty ທີ່ ໜ້າ ຫວາດສຽວນີ້.

ພ້ອມກັນນີ້ຂ້າພະເຈົ້າຂໍຂອບໃຈເພື່ອນ Kassem Bazzoun ຂອງຂ້າພະເຈົ້າ ສຳ ລັບການສະ ໜັບ ສະ ໜູນ ອັນໃຫຍ່ຫຼວງຂອງລາວແລະຊ່ວຍຂ້າພະເຈົ້າກ່ຽວກັບຂໍ້ບົກພ່ອງນີ້. ຂໍຂອບໃຈເປັນລ້ານ bro. :)

ກຳ ນົດເວລາ: ເດືອນສິງຫາ. ວັນທີ 06, 2018 - ບົດລາຍງານເບື້ອງຕົ້ນເດືອນສິງຫາ. 14, 2018 - ລາຍງານການຫລອກລວງເດືອນສິງຫາ. 15, 2018 - ບັກແກ້ໄຂເດືອນສິງຫາ. 15, 2018 - ແກ້ໄຂການຢັ້ງຢືນເດືອນຕຸລາ. 10, 2018–6500 $ ໄດ້ຮັບລາງວັນບຸນຊ່ວຍ

ວີດີໂອ PoC:

Takeways:

  • ບໍ່ແມ່ນຂື້ນກັບການຕອບສະ ໜອງ ເທົ່ານັ້ນ, ບາງຄັ້ງມັນເຮັດໃຫ້ທ່ານມີຂໍ້ຜິດພາດ, ແຕ່ແທນທີ່ຂໍ້ບົກພ່ອງຂອງທ່ານຈະເຮັດວຽກ, ຂ້ອຍໄດ້ຮຽນຮູ້ວ່າເມື່ອຂ້ອຍໄດ້ເຫັນວິດີໂອສອງສາມເດືອນກ່ອນເພື່ອນຂອງຂ້ອຍ Abdellah Yaala ເບິ່ງວິດີໂອຂອງລາວໃນນາທີ 1: 22, ສະນັ້ນ ທ່ານຕ້ອງກວດເບິ່ງສິ່ງທີ່ທ່ານ ກຳ ລັງທົດສອບຈາກແອັບ web ເວັບ. ຄືກັນ.
  • ພະຍາຍາມກວດເບິ່ງເປົ້າ ໝາຍ ຂອງທ່ານເປັນບາງຄັ້ງຄາວແລະເພື່ອກວດເບິ່ງວ່າມີຕົວເລືອກຫຼືຄຸນລັກສະນະ ໃໝ່ ໃດ (ເມື່ອມີຄຸນລັກສະນະ ໃໝ່ ມີຂໍ້ບົກພ່ອງ ໃໝ່).
  • ພະຍາຍາມຈົດ ຈຳ ຕົວເລືອກເປົ້າ ໝາຍ ຂອງທ່ານ, ມັນຈະເຮັດໃຫ້ທ່ານລະບຸຕົວເລືອກ ໃໝ່ ໃດໆຢ່າງໄວວາຄືກັບທີ່ຂ້ອຍເຄີຍເຮັດ :).

ຂອບ​ໃຈ

Sarmad Hassan (JubaBaghdad)