看我如何hack BlackHat:使用BCard API枚举注册与会者 – FreeBuf互联网安全新媒体平台 | 关注黑客与极客

(1)./jadx-gui ~/Desktop/bcard.apk

(2)grep -R “http.*://”

接下来,我做了一些数学谋略,以确定能够暴力罗列所有 BlackHat 与会者的可行性

BlackHat是天下上最大年夜的收集安然活动之一,每年夏天都邑在美国拉斯维加斯举行那些参加 BlackHat 的人可能已经留意到他们的徽章包孕 NFC 标签此 NFC 标签在商务大年夜厅的展位进行扫描,是以供应商可以网络他们的营销数据,包括姓名,地址,公司,职位和电话号码在 BlackHat 之后,各个供应商扫描过徽章的与会者会收到连续串的营销电子邮件我最初没故意识到的一件事是数据实际包孕在标签内部

今年在 BlackHat 的培训时代,我对徽章和挂绳在培训中在我的脖子上发出噪音认为沮丧,以是我将它取下并放在我左右的桌子上后来我将手机放在上面并看到了看护,以便涉猎 NFC 标签出于好奇,我下载了一个标签涉猎器利用法度榜样,查看了我的标签上存储的数据并做了一些察看:

在查看上面的数据后,我碰到了一些问题:供应商若何获取我的电子邮件地址的?我的所稀有据都存储在卡上,只有部分数据是加密的吗?是否有可用于提取另外数据的 API?几天后,我抉择从新造访并下载了 BCard APK我应用 Jadx 对象将 APK 反编译为 Java 源码,并开始在输出中搜索任何潜在的 API 端点在 0-100000 和 000000-100000 上考试测验了几百个哀求并且没有收到有效的徽章后,我确定那些可能不会是有效的 ID 范围然后我们可以假设有效 ID 是 100000-999999这给我们留下了 900,000 个哀求预计有 18,000 名 BlackHat 与会者,我们可以假设我们将在大年夜约 2%的哀求中罗列有效的 badgeID

我们能够强制改变造访 A​​PI 的速率意味着我们可以在大年夜约 6 个小时内成功网络所有 BlackHat 2018 注册与会者的姓名,电子邮件地址,公司名称,电话号码和地址

在成功证实这个观点之后,我开始了破绽表露历程ITN 团队最初很难与他们联系,由于他们没有 security@ 或者 abuse@电子邮件地址,然则一旦我能够与相宜的人联系,他们就异常有礼貌,专业和敏感此外,他们在初次打仗后的 24 小时内办理了此问题

表露光阴表

2018 年 8 月 9 日 – 经由过程电子邮件发送 security@电子邮件地址并收到退回回覆

2018 年 8 月 9 日 – 在 LinkedIn 上向首席运营官发送了一条消息

2018 年 8 月 12 日 – 在 LinkedIn 上向系统治理员发送了一条消息,并在当晚晚些时刻收到了 IT 主管的回覆我们互换了一些电子邮件,具体阐清楚明了这个问题,我被见告他们将在礼拜一评论争论这个问题

2018 年 8 月 13 日 – 我被见告 API 已被禁用,由于它是一个遗留系统从新测试 API 后,我无法提取任何 BlackHat 与会者记录

*参考滥觞:ninja.style,生如夏花编译,转载请注明来自FreeBuf.COM

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包